阿里云
发表主题 回复主题
  • 5927阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-15718:Apache Hadoop YARN NodeManager信息泄露漏洞

级别: 论坛版主
发帖
240
云币
472
近日,Apache Hadoop 大数据平台的YARN NodeManager爆出信息泄露漏洞,CVE编号CVE-2017-15718,攻击者可能获得应用密码。受影响版本Apache Hadoop 2.7.3及2.7.4,之前为cve-2016-3086提供的安全性修复是不完整的。 X~3P?O]kFv  
@&##c6\$  
YARN NodeManager 泄漏凭证存储提供程序的密码,该凭据由nodemanager用于 YARN应用。如果你使用credentialprovider功能加密密码并应用于nodemanager配置,nodemanager启动的任何容器都有可能获取加密密码,其他密码本身不直接暴露,建议用户关注并开展查工作。 J|24I4  
#>B1$(@  
具体详情如下: EIQy?ig86  

3+5\xRq  
漏洞编号: Ue:T3jp 3%  
CVE-2017-15718 s.)w A`&&  
漏洞名称: eE%yo3  
Apache Hadoop YARN NodeManager信息泄露漏洞 ,z )NKt#  
官方评级: SVh4)}.x  
高危 EsB'nf r  
漏洞描述: >C&<dO#i  
在Apache Hadoop 2.7.3及2.7.4,为cve-2016-3086提供的安全性修复是不完整的。 YARN NodeManager 泄漏凭证存储提供程序的密码,该凭据由nodemanager用于 YARN应用。如果你使用credentialprovider功能加密密码并应用于nodemanager配置,nodemanager启动的任何容器都有可能获取加密密码,其他密码不受影响。 NOp=/  
漏洞利用条件和方式: u>6/_^iq  
通过PoC直接远程利用。 C*e[CP@u  
PoC状态: < DZ76  
已公开 Ytwv=;h-  
漏洞影响范围: Bl\kU8O-  
Hadoop 2.7.3, 2.7.4 $!!=fFX*y  
漏洞检测: )ZyuF(C&  
开发人员检查是否使用了受影响版本范围内的Apache Hadoop版本。 C,vc aC?  
漏洞修复建议(或缓解措施): T)tHN#6I  
  • 目前官方已经发布安全版本,使用Apache Hadoop 2.7.3 和 2.7.4版本的用户请尽快升级2.7.5以上版本
  • 如果暂时无法升级,请设置的JCEKS文件权限,适当限制未经授权的用户访问。
S&]<;N_B  
提示:建议您在版本升级前做好测试工作,同时使用ECS快照功能做好数据备份工作。 ND1%s &  
情报来源: nL 07^6(  
Le:mMd= G  
||ZufFO  
cYy @  
i3&B%JiLX  
fA0=Y,pzv  
02#Iip3t  
l@/kPEh  
m&~Dj#%(w  
%<#3_}"T|  
IetGg{h.  
nEcd+7(  
}d\Tk(W  
8|qB 1fB  
)^>XZ*eK  
+ls*//R  
.C;_4jE  
4'hcHdL9   
"~2#!bK7  
<6O _t,K]  
ZWhmO=b!  
grxl{uIC8  
z>p`!-'ID  
i@R$g~~-D  
hB}h-i(u  
69j~?w)^  
~z _](HKoS  
zPh\3B  
[ 此帖被正禾在2018-02-06 09:49重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个