Apache Airflow Hive Provider <5.0.0 存在操作系统命令注入漏洞

最新推荐文章于 2023-05-04 11:28:01 发布
最新推荐文章于 2023-05-04 11:28:01 发布
阅读量442 收藏
点赞数
分类专栏: 漏洞情报订阅 文章标签: hive apache hadoop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cups107/article/details/128407976
版权

漏洞描述

Apache Airflow 是一个用于以编程方式创作、安排和监控工作流平台。Apache Airflow Hive Provider 是一个使用 SQL 读取、写入和管理分布式存储中的大型数据集的工具包。

Apache Airflow Hive Provider 在 5.0.0 之前的版本中由于对airflow/providers/apache/hive/hooks/hive.py文件中hive_cli_params参数不正确初始化,导致存在操作系统命令注入漏洞。

未经身份验证的远程攻击者可以将特制数据(run_cli函数的hive_conf参数可控)传递给应用程序,并在目标系统上执行任意操作系统命令。

漏洞名称Apache Airflow Hive Provider <5.0.0 存在操作系统命令注入漏洞
漏洞类型命令注入
发现时间2022/12/21
漏洞影响广度
MPS编号MPS-2022-66662
CVE编号CVE-2022-46421
CNVD编号-

影响范围

apache-airflow-providers-apache-hive@[0, 5.0.0)

修复方案

将组件 apache-airflow-providers-apache-hive 升级至 5.0.0 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-66662

https://github.com/apache/airflow/pull/28101/commits/46be2a53c2e55e3b9350276ee934d8d632ceb99f

https://www.cve.org/CVERecord?id=CVE-2022-46421

    

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:

https://www.oscs1024.com/cm/?src=csdn

具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/?src=csdn

在这里插入图片描述

开源生态安全OSCS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hive任意命令/代码执行漏洞+渗透实例
cnbird's blog
02-17 2723
Author: kindle Date: 2013-02-9 Hive是建立在 Hadoop 上的数据仓库基础构架。它提供了一系列的工具,可以用来进行数据提取转化加载(ETL),这是一种可以存储、查询和分析存储在 Hadoop 中的大规模数据的机制。Hive 定义了简单的类 SQL 查询语言,称为 QL,它允许熟悉 SQL 的用户查询数据。同时,这个语言也允许熟悉 MapReduce 开发者的
Apache Airflow Hive Provider 任意Hive命令执行漏洞
murphysec的博客
03-01 437
Apache Airflow 是一个以编程方式管理 workflow 的平台,Airflow Hive Provider 是一个使用 SQL 进行读取、写入和管理分布式存储中的大型数据集的工具包,_prepare_cli_cmd 方法用于创建 Hive 连接命令列表。 由于 Airflow Hive Provider 5.1.3 之前版本中的 hive#_prepare_cli_cmd 方法未对用户传入的数据库连接参数(conn)有效过滤,攻击者可以恶意构造 Hive 连接参数传递到 jdbc_url 中
Hive3.1.2-Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)修复方法
等风来
05-04 388
其中,log4j-api-*.jar、log4j-core-*.jar是需要替换的。
Hive调度工具Airflow
weixin_37536020的博客
05-24 1331
Centos7 、Docker、Docker-Compose 搭建AirFlow,用于调度Hive
Apache Airflow Provider Sqoop 模块远程代码执行漏洞
murphysec的博客
03-01 353
Apache Airflow 是一个以编程方式管理 workflow 的平台,Sqoop 模块用于在 Hadoop 和结构化数据存储(例如关系数据库)之间高效传输大量数据。 apache-airflow-providers-apache-sqoop 3.1.1 之前版本中,由于 SqoopHook 类创建 sqoop 连接时未对用户配置的 jar 文件进行过滤,有权修改 sqoop 连接配置(lib_jars 字段)的攻击者可上传恶意 jar 文件远程执行恶意代码。
Apache Airflow Celery 消息中间件命令执行漏洞CVE-2020-11981POC脚本
12-09
Apache Airflow Celery 消息中间件命令执行漏洞CVE-2020-11981POC脚本 Airflow 是一个使用 python 语言编写的 data pipeline 调度和监控工作流的平台。Airflow 是通过 DAG(Directed acyclic graph 有向无环图)来...
PyPI 官网下载 | apache-airflow-providers-apache-hive-1.0.0b2.tar.gz
01-31
资源来自pypi官网。 资源全名:apache-airflow-providers-apache-hive-1.0.0b2.tar.gz
dag-factory:从YAML配置文件动态生成Apache Airflow DAG
05-13
它需要Python 3.6.0+和Apache Airflow 1.10+。 用法 在Airflow环境中安装dag-factory之后,有两个步骤来创建DAG。 首先,我们需要创建一个YAML配置文件。 例如: example_dag1 : default_args : owner : ' ...
Python库 | apache-airflow-providers-apache-spark-2.1.3.tar.gz
04-06
资源分类:Python库 所属语言:Python 资源全名:apache-airflow-providers-apache-spark-2.1.3.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
airflow-role:安装Apache Airflow的角色
01-31
Apache Airflow Ansible角色 这个角色负责在Debian / Ubuntu环境中安装Apache Airflow服务器。 入门 这些说明将为您提供ansible剧本的角色副本。 一旦启动,它将在Debian或Ubuntu系统中安装服务器。 先决条件 已安装...
airflow-provider-fivetran:Fivetran Airflow提供商
03-19
适用于Fivetran的Apache Airflow Provider 截至2021年2月的实验库! Fivetran devrel团队将该提供程序维持在试验状态,并且不保证仍提供持续的支持。 的Airflow运算符。 Fivetran使您的​​数据管道自动化,而Airflow使您的数据处理自动化。 安装 前提条件:运行apache-airflow的环境。 pip install airflow-provider-fivetran 模组 : 的基本运算符。通过以下方式导入您的DAG: from airflow_provider_fivetran.operators.fivetran import FivetranOperator 例子 有关示例DAG,请参见 目录。 **此操作员尚处于开发的早期阶段!随时提交问题,PR,或通过向当前作者发送电子邮件以获取反馈。
漏洞预警|Apache Airflow Hive Provider命令注入漏洞
LJQClqjc的博客
11-22 749
棱镜七彩安全预警
大数据调度平台Airflow(六):Airflow Operators及案例
lisheng19870305的专栏
07-17 3532
定义依赖的触发规则,包括选项如下{all_success|all_failed|all_done|one_success|one_failed|none_failed|none_failed_or_skipped|none_skipped|dummy(无条件执行)}defaultisall_success。在“bash_command”中写执行脚本时,一定要在脚本后跟上空格,有没有参数都要跟上空格,否则会找不到对应的脚本。...
某产品巧妙的命令执行漏洞
一个码农的笔记
03-26 891
最近在做内部产品的代码审计,发现一处有趣的地方,我把关键代码提取出来,供大家学习思路 &lt;? if(array_key_exists('type',$_REQUEST)){ $type = $_REQUEST['type']; } if(array_key_exists('sha1',$_REQUEST)){ $sha1 = $_REQUEST['sha...
Hive之——安全
热门推荐
冰河的专栏
03-18 1万+
转载请注明出处:https://blog.csdn.net/l1028386804/article/details/88648094 和Hadoop安全功能相结合 Hive v0.70增加了和Hadoop安全功能的结合,这意味着,当Hive提交到安全集群的JobTracker上时,将使用合适的认证处理过程。用户权限可以被授予也可以被回收。 使用Hive进行验证 如果文件和文件夹是多个用户共...
常见数据库漏洞
a1b2c3是弱口令
08-22 8934
MySQL数据库 默认端口:3306 攻击方法: 爆破:弱口令 身份认证漏洞:CVE-2012-2122 拒绝服务攻击 Phpmyadmin万能密码绕过:用户名:‘localhost’@’@” 密码任意 提权 参考: https://www.seebug.org/appdir/MySQL http://www.waitalone.cn/my...
Bash 远程任意代码执行安全漏洞(最严重漏洞
weixin_34221332的博客
09-25 392
Bash 远程任意代码执行安全漏洞(最严重漏洞)http://www.oschina.net/news/55576/bourne-again-shell-bash-remote-code-execution-vulnerabilityhttp://www.antiy.com/response/bash.html 转载于:https://blog.5...
Apache Airflow 2.0 新特性一览
Young2018的博客
06-06 1931
今天有空对大约半年前的Apache Airflow 2.0 的Release文档做一个整理,主要的文章的内容来自于Apache Airflow官方的Apache Airflow 2.0 is here!和Astronomer(Apache Airflow云服务提供商)的Introducing Airflow 2.0. 主要以官方文档为主,以翻译+注解的方式来说明Apache Airflow 2.0 版本的新特性. A new way of writing dags: the TaskFlow API (AI
apache airflow 实战
最新发布
09-10
Apache Airflow是一个开源的工作流程管理平台,用于将任务以有序的方式进行调度和执行。实战Apache Airflow可以帮助我们更好地管理和监控数据流和任务的运行。 首先,我们可以使用Apache Airflow创建和定义任务的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值