阿里云
阿里云飞天战略营全新发布
发表主题 回复主题
  • 4904阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-15718:Apache Hadoop YARN NodeManager信息泄露漏洞

级别: 论坛版主
发帖
227
云币
443
近日,Apache Hadoop 大数据平台的YARN NodeManager爆出信息泄露漏洞,CVE编号CVE-2017-15718,攻击者可能获得应用密码。受影响版本Apache Hadoop 2.7.3及2.7.4,之前为cve-2016-3086提供的安全性修复是不完整的。 3}XUYF;  
>6(nW:I0y  
YARN NodeManager 泄漏凭证存储提供程序的密码,该凭据由nodemanager用于 YARN应用。如果你使用credentialprovider功能加密密码并应用于nodemanager配置,nodemanager启动的任何容器都有可能获取加密密码,其他密码本身不直接暴露,建议用户关注并开展查工作。 9t;aJFI  
) D(XDN  
具体详情如下: *}yW8i}36  

W"z!sf5U  
漏洞编号: _:=w6jCk  
CVE-2017-15718 9;q@;)'5  
漏洞名称: E-&=I> B5  
Apache Hadoop YARN NodeManager信息泄露漏洞 NjL,0Bp  
官方评级: ]`+>{Sx 1  
高危 Cm>8r5LG  
漏洞描述: $zDW)%nAX  
在Apache Hadoop 2.7.3及2.7.4,为cve-2016-3086提供的安全性修复是不完整的。 YARN NodeManager 泄漏凭证存储提供程序的密码,该凭据由nodemanager用于 YARN应用。如果你使用credentialprovider功能加密密码并应用于nodemanager配置,nodemanager启动的任何容器都有可能获取加密密码,其他密码不受影响。 #&&^5r-b-  
漏洞利用条件和方式: =q>eoXp  
通过PoC直接远程利用。 :m-HHWMN  
PoC状态: dZv-lMYBE  
已公开 1\_4# @')  
漏洞影响范围: .wYx_  
Hadoop 2.7.3, 2.7.4 ~"{Kjr#R  
漏洞检测: <A+Yo3|7  
开发人员检查是否使用了受影响版本范围内的Apache Hadoop版本。 ?I7%@x!+S  
漏洞修复建议(或缓解措施): BxlpI[yWq  
  • 目前官方已经发布安全版本,使用Apache Hadoop 2.7.3 和 2.7.4版本的用户请尽快升级2.7.5以上版本
  • 如果暂时无法升级,请设置的JCEKS文件权限,适当限制未经授权的用户访问。
N'|zPFk g  
提示:建议您在版本升级前做好测试工作,同时使用ECS快照功能做好数据备份工作。 )%WS(S>8  
情报来源: 9 /q4]%`  
=suj3.   
Of Y>~d  
!!dNp5h`  
&vd9\Pp  
~99Ta]U  
0Tg/R4dI  
>:h 8T]F  
h dPK eqg7  
zgqe@;{  
KZ;U6TBiB  
980[]&(  
0M-Zp[w\-  
nA5v+d-<T  
lv,8NmP5  
w/>k  
aW$7:<A{  
bWG}>{fj  
44($a9oa2  
.kvuI6H  
6e/2X<O  
fHR1ku y  
=i\~][-  
NTls64AS.  
a'XCT@B  
` _[\j]  
C5 ^_R  
86.!s Q8b  
[ 此帖被正禾在2018-02-06 09:49重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个