漏洞描述:
Apache
Hadoop
web端点被曝存在存在远程权限提升漏洞(漏洞编号:CVE-2018-11764),Apache Hadoop Web端身份校验存在漏洞,经过身份验证的用户可以伪造成任意用户,进而造成权限提升漏洞。
Apache
Hadoop是一款支持数据密集型分布式应用程序并以Apache
2.0许可协议发布的开源软件框架。它支持在商品硬件构建的大型集群上运行的应用程序。Hadoop还提供了分布式文件系统,用以存储所有计算节点的数据,这为整个集群带来了非常高的带宽。
漏洞等级:高危
即使没有配置代理用户,经过身份验证的用户也可利用该漏洞模拟任何用户。
受影响的版本:
Apache
Hadoop 3.0.0-alpha4
Apache
Hadoop 3.0.0-beta1
Apache
Hadoop 3.0.0
安全版本:
Apache
Hadoop >= 3.0.1
修复建议:
1)Apache官方已发布漏洞修复版本,检查您的
Apache Hadoop 是否在受影响版本范围。
2)如受影响,请你选择合理时间进行升级操作,升级到修复版本,避免影响业务。
【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外
参考链接:
官方安全公告:https://www.mail-archive.com/user@hadoop.apache.org/msg24103.html