阿里云
发表主题 回复主题
  • 6226阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-15718:Apache Hadoop YARN NodeManager信息泄露漏洞

级别: 论坛版主
发帖
240
云币
472
近日,Apache Hadoop 大数据平台的YARN NodeManager爆出信息泄露漏洞,CVE编号CVE-2017-15718,攻击者可能获得应用密码。受影响版本Apache Hadoop 2.7.3及2.7.4,之前为cve-2016-3086提供的安全性修复是不完整的。 Z*Gf`d:  
ra>2<  
YARN NodeManager 泄漏凭证存储提供程序的密码,该凭据由nodemanager用于 YARN应用。如果你使用credentialprovider功能加密密码并应用于nodemanager配置,nodemanager启动的任何容器都有可能获取加密密码,其他密码本身不直接暴露,建议用户关注并开展查工作。 Iy&,1CI"]  
aB?usVoS  
具体详情如下: (<8}un  

c+ByEP4EG  
漏洞编号: Y]](.\ff  
CVE-2017-15718  bLAHVi<.  
漏洞名称: =:]v~Ehq  
Apache Hadoop YARN NodeManager信息泄露漏洞 C4P<GtR9  
官方评级: m}\QGtJ6  
高危  o?m/  
漏洞描述: nosD1sS.K8  
在Apache Hadoop 2.7.3及2.7.4,为cve-2016-3086提供的安全性修复是不完整的。 YARN NodeManager 泄漏凭证存储提供程序的密码,该凭据由nodemanager用于 YARN应用。如果你使用credentialprovider功能加密密码并应用于nodemanager配置,nodemanager启动的任何容器都有可能获取加密密码,其他密码不受影响。 75lh07  
漏洞利用条件和方式: $LFL4Q  
通过PoC直接远程利用。 BP0:<vK{  
PoC状态: kS:#|yY8%  
已公开 d]" 4aS  
漏洞影响范围: $2?j2}M  
Hadoop 2.7.3, 2.7.4 sA77*T  
漏洞检测: qq]Iy=  
开发人员检查是否使用了受影响版本范围内的Apache Hadoop版本。 +E_yEH7_)  
漏洞修复建议(或缓解措施): ,^97Ks ;  
  • 目前官方已经发布安全版本,使用Apache Hadoop 2.7.3 和 2.7.4版本的用户请尽快升级2.7.5以上版本
  • 如果暂时无法升级,请设置的JCEKS文件权限,适当限制未经授权的用户访问。
vIbM@Y4 '?  
提示:建议您在版本升级前做好测试工作,同时使用ECS快照功能做好数据备份工作。 cgSN:$p(R  
情报来源: V L$ T  
hW< v5!,  
!W9:)5^X  
q*3keB;X  
Cl]?qH*:  
Xa?O)Bq.  
pX?3inQP%(  
q1( [mHZ  
EZ]4cd/i  
%BP>,E/w  
t'l4$}(  
"4)N]Nj  
!}#> ky!t  
a3tcLd|7J  
h @!p:]  
'\tI|  
uK2HtRY1  
O {1" I  
>|E]??v  
4a+gM._+O  
q[,p#uJ]  
:*M?RL@j  
FklR!*oL,)  
ZH_$Q$9  
<\~v$=G  
o$sD9xx  
Mw/9DrE7/  
oS fr5 i  
[ 此帖被正禾在2018-02-06 09:49重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 73 + 14 = ?
上一个 下一个