阿里云
阿里云飞天战略营全新发布
发表主题 回复主题
  • 4894阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-15718:Apache Hadoop YARN NodeManager信息泄露漏洞

级别: 论坛版主
发帖
227
云币
443
近日,Apache Hadoop 大数据平台的YARN NodeManager爆出信息泄露漏洞,CVE编号CVE-2017-15718,攻击者可能获得应用密码。受影响版本Apache Hadoop 2.7.3及2.7.4,之前为cve-2016-3086提供的安全性修复是不完整的。 FyG6 !t%  
K%}}fw2RMN  
YARN NodeManager 泄漏凭证存储提供程序的密码,该凭据由nodemanager用于 YARN应用。如果你使用credentialprovider功能加密密码并应用于nodemanager配置,nodemanager启动的任何容器都有可能获取加密密码,其他密码本身不直接暴露,建议用户关注并开展查工作。 |xr32g s  
uv4 _:   
具体详情如下: !k~z5z'=py  

fY2wDD  
漏洞编号: j.3o W  
CVE-2017-15718 wAbp3hX  
漏洞名称: a%hGZCI  
Apache Hadoop YARN NodeManager信息泄露漏洞 ]Qi,j#X  
官方评级: f|xLKcOP  
高危 DM3B]Yl  
漏洞描述: oVZ4bRl   
在Apache Hadoop 2.7.3及2.7.4,为cve-2016-3086提供的安全性修复是不完整的。 YARN NodeManager 泄漏凭证存储提供程序的密码,该凭据由nodemanager用于 YARN应用。如果你使用credentialprovider功能加密密码并应用于nodemanager配置,nodemanager启动的任何容器都有可能获取加密密码,其他密码不受影响。 xKp0r1}  
漏洞利用条件和方式: i#,1i VSG  
通过PoC直接远程利用。 Q:S\0cI0  
PoC状态: ZHy><=2  
已公开 /aUFc'5  
漏洞影响范围: 7unA"9=[4V  
Hadoop 2.7.3, 2.7.4 Sb^ b)q"  
漏洞检测: \Tq "mw9P  
开发人员检查是否使用了受影响版本范围内的Apache Hadoop版本。 da*9(!OV  
漏洞修复建议(或缓解措施): 1<uwU(  
  • 目前官方已经发布安全版本,使用Apache Hadoop 2.7.3 和 2.7.4版本的用户请尽快升级2.7.5以上版本
  • 如果暂时无法升级,请设置的JCEKS文件权限,适当限制未经授权的用户访问。
\7E`QY4  
提示:建议您在版本升级前做好测试工作,同时使用ECS快照功能做好数据备份工作。 N^B@3QF  
情报来源: jA2ofC  
 b~!om  
w67x l  
~t9$IB  
K<,Y^3]6?  
-fM1$/]  
C MqM;1  
=mJ F_Ri  
Ck(.N  
-I vL+}K  
-HTL5  
X'2Gi  
$f(agG]  
|B1Af  
m9g^ -X  
ocP*\NR  
)b (X  
c+;S<g 0  
Ge9}8  
~D!ESe*=  
I:/4t^%  
-$tCF>,  
_U=S]2 Q W  
8AX3C s_G  
gDc]^K4>  
(\q[gyR  
Gavkil  
/p[y1  
[ 此帖被正禾在2018-02-06 09:49重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个