阿里云
发表主题 回复主题
  • 5946阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-15718:Apache Hadoop YARN NodeManager信息泄露漏洞

级别: 论坛版主
发帖
240
云币
472
近日,Apache Hadoop 大数据平台的YARN NodeManager爆出信息泄露漏洞,CVE编号CVE-2017-15718,攻击者可能获得应用密码。受影响版本Apache Hadoop 2.7.3及2.7.4,之前为cve-2016-3086提供的安全性修复是不完整的。 @bLy,Xr&  
I,DS@SK  
YARN NodeManager 泄漏凭证存储提供程序的密码,该凭据由nodemanager用于 YARN应用。如果你使用credentialprovider功能加密密码并应用于nodemanager配置,nodemanager启动的任何容器都有可能获取加密密码,其他密码本身不直接暴露,建议用户关注并开展查工作。 jd"@t*ZV  
U>SShpmZA  
具体详情如下: S+6.ZZ9c  

RC"MdcD:]y  
漏洞编号: =%O6:YM   
CVE-2017-15718 'oVx#w^mf  
漏洞名称: I][*j  
Apache Hadoop YARN NodeManager信息泄露漏洞 !|uWH  
官方评级: UDFDJm$  
高危 Qel9G($=  
漏洞描述: nFCC St$  
在Apache Hadoop 2.7.3及2.7.4,为cve-2016-3086提供的安全性修复是不完整的。 YARN NodeManager 泄漏凭证存储提供程序的密码,该凭据由nodemanager用于 YARN应用。如果你使用credentialprovider功能加密密码并应用于nodemanager配置,nodemanager启动的任何容器都有可能获取加密密码,其他密码不受影响。 C.P*#_R  
漏洞利用条件和方式: E]d. z6k  
通过PoC直接远程利用。  K5 z<3+  
PoC状态: Dy&i&5E.-l  
已公开 d-ko ^Y0  
漏洞影响范围: y.k~Y0  
Hadoop 2.7.3, 2.7.4 G_JA-@i%  
漏洞检测: q i;1L Kc  
开发人员检查是否使用了受影响版本范围内的Apache Hadoop版本。 :OZrH<SW  
漏洞修复建议(或缓解措施): M _f:A  
  • 目前官方已经发布安全版本,使用Apache Hadoop 2.7.3 和 2.7.4版本的用户请尽快升级2.7.5以上版本
  • 如果暂时无法升级,请设置的JCEKS文件权限,适当限制未经授权的用户访问。
FV!q!D  
提示:建议您在版本升级前做好测试工作,同时使用ECS快照功能做好数据备份工作。 8,%^ M9zBP  
情报来源: wlvgg  
OT*mO&Z  
@mBQ?; qlK  
n@i HFBb  
Ml5w01O  
Q&;9 x?e  
00y!K m_D  
|df Pki{  
Qv-_ jZ  
_H%c;z+  
&z3o7rif$  
T -2t.Xs  
e T{ 4{  
T^KKy0ZGM  
ND;#7/$>  
m(!FHPvN  
{\5  
+6\Zj)  
vE?G7%,  
4HlQ&2O%#  
(A#^l=su  
TJRCH>E[a  
tsjrRMR  
@9s$4DS  
Q2gq}c~  
c@7rqHU-0  
HZge!Yp<  
iBa A9  
[ 此帖被正禾在2018-02-06 09:49重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 68 - 56 = ?
上一个 下一个