阿里云
发表主题 回复主题
  • 6209阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-15718:Apache Hadoop YARN NodeManager信息泄露漏洞

级别: 论坛版主
发帖
240
云币
472
近日,Apache Hadoop 大数据平台的YARN NodeManager爆出信息泄露漏洞,CVE编号CVE-2017-15718,攻击者可能获得应用密码。受影响版本Apache Hadoop 2.7.3及2.7.4,之前为cve-2016-3086提供的安全性修复是不完整的。 *yT>  
(mP{A(kwJ  
YARN NodeManager 泄漏凭证存储提供程序的密码,该凭据由nodemanager用于 YARN应用。如果你使用credentialprovider功能加密密码并应用于nodemanager配置,nodemanager启动的任何容器都有可能获取加密密码,其他密码本身不直接暴露,建议用户关注并开展查工作。 FLG"c690  
rGNa[1{kRs  
具体详情如下: fmK~?  

AcuZ? LYzK  
漏洞编号: F&!vtlV)  
CVE-2017-15718 yC$m(Y12FN  
漏洞名称: eef&ZL6g  
Apache Hadoop YARN NodeManager信息泄露漏洞 ,!Q nh:  
官方评级: TsT5BC63  
高危 X>`03?L  
漏洞描述: I]d-WTd  
在Apache Hadoop 2.7.3及2.7.4,为cve-2016-3086提供的安全性修复是不完整的。 YARN NodeManager 泄漏凭证存储提供程序的密码,该凭据由nodemanager用于 YARN应用。如果你使用credentialprovider功能加密密码并应用于nodemanager配置,nodemanager启动的任何容器都有可能获取加密密码,其他密码不受影响。 _Vp"G)1Y  
漏洞利用条件和方式: M *w{PjU  
通过PoC直接远程利用。 Qqg.z-G%.  
PoC状态: giu{,gS0?M  
已公开 `>UUdv{C  
漏洞影响范围: |Io:D:  
Hadoop 2.7.3, 2.7.4 A'`F Rx(  
漏洞检测: o#6QwbU25  
开发人员检查是否使用了受影响版本范围内的Apache Hadoop版本。 8>WA5:]v  
漏洞修复建议(或缓解措施): mWZP.w^-  
  • 目前官方已经发布安全版本,使用Apache Hadoop 2.7.3 和 2.7.4版本的用户请尽快升级2.7.5以上版本
  • 如果暂时无法升级,请设置的JCEKS文件权限,适当限制未经授权的用户访问。
+pG+ xI  
提示:建议您在版本升级前做好测试工作,同时使用ECS快照功能做好数据备份工作。 !`N:.+DT  
情报来源: zx<PX  
4o M~  
<o|fH~?X  
OF`J{`{r  
N9|J\;fzT  
A^FkU  
6oLOA}q   
pW.WJ`Rk  
+&)/dHbL`]  
W8bp3JX"  
g]Y%c73  
U&6A)SW,k  
az![u)  
^G`6Zg;  
!HU$V9C  
rfVQX<95=/  
>3D1:0Sg  
er24}G8  
] / Nt  
0,~s0]h0V  
xltN-<n7  
8/j|=Q,5  
-4+'(3qr  
*w0|`[P+h  
AJ>E\DK0]  
>}F$6KM  
Dk sn  
@&m]:GR  
[ 此帖被正禾在2018-02-06 09:49重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个