阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 7691阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-15718:Apache Hadoop YARN NodeManager信息泄露漏洞

级别: 论坛版主
发帖
241
云币
478
近日,Apache Hadoop 大数据平台的YARN NodeManager爆出信息泄露漏洞,CVE编号CVE-2017-15718,攻击者可能获得应用密码。受影响版本Apache Hadoop 2.7.3及2.7.4,之前为cve-2016-3086提供的安全性修复是不完整的。 W1LR ,:$  
d.Ccc/1-  
YARN NodeManager 泄漏凭证存储提供程序的密码,该凭据由nodemanager用于 YARN应用。如果你使用credentialprovider功能加密密码并应用于nodemanager配置,nodemanager启动的任何容器都有可能获取加密密码,其他密码本身不直接暴露,建议用户关注并开展查工作。 G^.tAO5:f  
 n0EW U,1  
具体详情如下: 8X278^ #  

R >&8%%#  
漏洞编号: *XYp~b  
CVE-2017-15718 vl+bc[ i~  
漏洞名称: EDh-pK  
Apache Hadoop YARN NodeManager信息泄露漏洞 jY=M{?h''  
官方评级: 9d( M%F  
高危 ^^n (s_g  
漏洞描述: $b7@S`5  
在Apache Hadoop 2.7.3及2.7.4,为cve-2016-3086提供的安全性修复是不完整的。 YARN NodeManager 泄漏凭证存储提供程序的密码,该凭据由nodemanager用于 YARN应用。如果你使用credentialprovider功能加密密码并应用于nodemanager配置,nodemanager启动的任何容器都有可能获取加密密码,其他密码不受影响。 \D]9:BNJ  
漏洞利用条件和方式: L`w r~E2u  
通过PoC直接远程利用。 vg"*%K$a  
PoC状态: Oz&*A/si+3  
已公开 5DkEJk7a  
漏洞影响范围: wuk\__f4  
Hadoop 2.7.3, 2.7.4 V eY&pPQ  
漏洞检测: hd(TKFL^y  
开发人员检查是否使用了受影响版本范围内的Apache Hadoop版本。 a"t~ K  
漏洞修复建议(或缓解措施): 2|WM?V&  
  • 目前官方已经发布安全版本,使用Apache Hadoop 2.7.3 和 2.7.4版本的用户请尽快升级2.7.5以上版本
  • 如果暂时无法升级,请设置的JCEKS文件权限,适当限制未经授权的用户访问。
59"tHb6E  
提示:建议您在版本升级前做好测试工作,同时使用ECS快照功能做好数据备份工作。 Z#^|h0  
情报来源: =*zde0T?l  
<%rm?;PBl  
p&)d]oV>  
T{-gbo`Yji  
_Y}cK| 3  
R7!v=X]i  
/iAhGY  
d+ZXi'  
sX*L[3!vN  
JL{fW>5y|  
TXf60{:f  
^SsnCn-e  
_IV!9 JL  
[kckE-y  
$;~YgOVZ5  
N^PkSf[)h5  
#`K{vj  
;O{bF8 U  
2Qh)/=8lM  
qdmAkYUC  
Iu5 9W >  
_' X  
mE>{K  
uqa pj("  
jAv3qMQA  
_Ex<VF u  
,=c(P9}^  
mO(Y>|mm  
[ 此帖被正禾在2018-02-06 09:49重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)