阿里云
发表主题 回复主题
  • 5480阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-15718:Apache Hadoop YARN NodeManager信息泄露漏洞

级别: 论坛版主
发帖
237
云币
465
近日,Apache Hadoop 大数据平台的YARN NodeManager爆出信息泄露漏洞,CVE编号CVE-2017-15718,攻击者可能获得应用密码。受影响版本Apache Hadoop 2.7.3及2.7.4,之前为cve-2016-3086提供的安全性修复是不完整的。 V"u .u  
j&|>Aa${  
YARN NodeManager 泄漏凭证存储提供程序的密码,该凭据由nodemanager用于 YARN应用。如果你使用credentialprovider功能加密密码并应用于nodemanager配置,nodemanager启动的任何容器都有可能获取加密密码,其他密码本身不直接暴露,建议用户关注并开展查工作。 (Wu J9  
JW2~ G!@  
具体详情如下: DlF6tcoI  

 K?]c  
漏洞编号: *1b1phh0/  
CVE-2017-15718 d8Sr,t+  
漏洞名称: @\?QZX(H  
Apache Hadoop YARN NodeManager信息泄露漏洞 mGC!7^_D`  
官方评级: ><DXT nt'x  
高危 :(TOtrK@  
漏洞描述: !WgVk7aP`  
在Apache Hadoop 2.7.3及2.7.4,为cve-2016-3086提供的安全性修复是不完整的。 YARN NodeManager 泄漏凭证存储提供程序的密码,该凭据由nodemanager用于 YARN应用。如果你使用credentialprovider功能加密密码并应用于nodemanager配置,nodemanager启动的任何容器都有可能获取加密密码,其他密码不受影响。 py%_XL=w,  
漏洞利用条件和方式: 7\<}378/^  
通过PoC直接远程利用。 u d$*/ )/  
PoC状态: Z~6PrM-M  
已公开 V6a+VfH  
漏洞影响范围: 1MYA/l$  
Hadoop 2.7.3, 2.7.4 =LyR CrA  
漏洞检测: ^b&U0k$R  
开发人员检查是否使用了受影响版本范围内的Apache Hadoop版本。 +sm9H"_0  
漏洞修复建议(或缓解措施): v[!ZRwk4w3  
  • 目前官方已经发布安全版本,使用Apache Hadoop 2.7.3 和 2.7.4版本的用户请尽快升级2.7.5以上版本
  • 如果暂时无法升级,请设置的JCEKS文件权限,适当限制未经授权的用户访问。
'FC#O%l  
提示:建议您在版本升级前做好测试工作,同时使用ECS快照功能做好数据备份工作。 Q$:>yveR*  
情报来源: ?Vo/mtbY5X  
3v,Bg4[i  
K0-AP $  
yN:U"]glC  
met`f0jw  
v?<Tkw ^F  
lCxPR'C|  
3c[< #] 8S  
D]*<J"/]d  
MgrJ ;?L  
@3WI7q4  
GSaU:A  
.:A&5Y-   
t(r}jU=qw  
p)YI8nW  
BQF7S<O+  
z8*{i]j  
[l:}#5\]4  
Og/@w&  
%?i~`0-:n%  
Z O\x|E!b  
vi~NfD@s  
)I(2t 6i  
6sz:rv}  
V m]u-R`{  
i=aK ?^+  
L)-1( e<x  
WLA LXJ7  
[ 此帖被正禾在2018-02-06 09:49重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个