阿里云
发表主题 回复主题
  • 5205阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-15718:Apache Hadoop YARN NodeManager信息泄露漏洞

级别: 论坛版主
发帖
233
云币
457
近日,Apache Hadoop 大数据平台的YARN NodeManager爆出信息泄露漏洞,CVE编号CVE-2017-15718,攻击者可能获得应用密码。受影响版本Apache Hadoop 2.7.3及2.7.4,之前为cve-2016-3086提供的安全性修复是不完整的。 g[ N3jt@  
yM('!iG*/  
YARN NodeManager 泄漏凭证存储提供程序的密码,该凭据由nodemanager用于 YARN应用。如果你使用credentialprovider功能加密密码并应用于nodemanager配置,nodemanager启动的任何容器都有可能获取加密密码,其他密码本身不直接暴露,建议用户关注并开展查工作。 ai"N;1/1O|  
Hi nJ}MF  
具体详情如下: VUC_|=?dL  

hWi2S!*Y  
漏洞编号: T%4yPmY  
CVE-2017-15718 b8**M'k  
漏洞名称: JqV}$E"M2  
Apache Hadoop YARN NodeManager信息泄露漏洞 =!u]t &yv  
官方评级: 2=,d.1E3d  
高危 ;?C`Jag x  
漏洞描述: IV~5Y{(l  
在Apache Hadoop 2.7.3及2.7.4,为cve-2016-3086提供的安全性修复是不完整的。 YARN NodeManager 泄漏凭证存储提供程序的密码,该凭据由nodemanager用于 YARN应用。如果你使用credentialprovider功能加密密码并应用于nodemanager配置,nodemanager启动的任何容器都有可能获取加密密码,其他密码不受影响。 d2fiPI7lg  
漏洞利用条件和方式: W&HxMi  
通过PoC直接远程利用。 Wr`<bLq1vs  
PoC状态: : -$TD('F  
已公开 x>+sqFd\  
漏洞影响范围: #'. '|z  
Hadoop 2.7.3, 2.7.4 Q)\[wYMt  
漏洞检测: m[v%Qe|~  
开发人员检查是否使用了受影响版本范围内的Apache Hadoop版本。 OZ/"W)  
漏洞修复建议(或缓解措施): F~/~_9RJ  
  • 目前官方已经发布安全版本,使用Apache Hadoop 2.7.3 和 2.7.4版本的用户请尽快升级2.7.5以上版本
  • 如果暂时无法升级,请设置的JCEKS文件权限,适当限制未经授权的用户访问。
&5*t*tI  
提示:建议您在版本升级前做好测试工作,同时使用ECS快照功能做好数据备份工作。 D;z!C ys  
情报来源: Nz:p(X!  
|@VhR(^O$  
'sTc=*p/  
_&[-< cu  
<pM6fI6BD  
+_jM$?:F}  
y5XFJj  
7!;zkou  
n`! 6EaD  
jI~$iDdOfs  
NTSIClm}U  
bK{ VjXF  
$01~G?:]`  
/#SH`ZK  
k%iwt]i%  
V."cmtf  
x4,[5N"}YK  
OTNI@jQ)  
nZM]EWn  
`aA)n;{/2u  
]YOWCFAQot  
TaF;P GjVw  
GNSh`Tm=#  
40z1Qkmaey  
uo(LZUjPbN  
wk'&n^_br  
S,Q(,e^&  
o_5[}d  
[ 此帖被正禾在2018-02-06 09:49重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个