hadoop漏洞_Apache Hadoop 存在远程权限提升漏洞(CVE-2018-11764)风险通告

最新推荐文章于 2024-05-20 08:00:00 发布
最新推荐文章于 2024-05-20 08:00:00 发布
阅读量604 收藏
点赞数
文章标签: hadoop漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39759270/article/details/111751927
版权

漏洞描述:

Apache

Hadoop

web端点被曝存在存在远程权限提升漏洞(漏洞编号:CVE-2018-11764),Apache Hadoop Web端身份校验存在漏洞,经过身份验证的用户可以伪造成任意用户,进而造成权限提升漏洞。

Apache

Hadoop是一款支持数据密集型分布式应用程序并以Apache

2.0许可协议发布的开源软件框架。它支持在商品硬件构建的大型集群上运行的应用程序。Hadoop还提供了分布式文件系统,用以存储所有计算节点的数据,这为整个集群带来了非常高的带宽。

漏洞等级:高危

即使没有配置代理用户,经过身份验证的用户也可利用该漏洞模拟任何用户。

受影响的版本:

Apache

Hadoop 3.0.0-alpha4

Apache

Hadoop 3.0.0-beta1

Apache

Hadoop 3.0.0

安全版本:

Apache

Hadoop >= 3.0.1

修复建议:

1)Apache官方已发布漏洞修复版本,检查您的

Apache Hadoop 是否在受影响版本范围。

2)如受影响,请你选择合理时间进行升级操作,升级到修复版本,避免影响业务。

【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外

参考链接:

官方安全公告:https://www.mail-archive.com/user@hadoop.apache.org/msg24103.html

weixin_39759270
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
hadoop漏洞_Apache Hadoop 权限提升漏洞风险预警(CVE20188029)| 安全情报
weixin_31484881的博客
01-03 1057
近日,腾讯云安全中心监测到ApacheHadoop被爆存在本地提权漏洞(CVE-2018-8029),攻击者利用该漏洞可将能提升到 yarn 权限的帐户提升到 root 最高权限。为避免您的业务受影响,腾讯云安全中心建议使用 Apache Hadoop 的用户及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。同时建议云上租户免费开通「安全运营中心」-安全情...
Hadoop 漏洞复现
MrHatSec的博客
08-01 5925
Hadoop作为一个分布式计算应用程序框架,种类功能繁多,各种组件安全问题会带来很大的攻击面。
未授权访问:Hadoop 未授权访问漏洞
最新发布
qq_68163788的博客
05-20 1150
Hadoop是一个由Apache基金会所开发的分布式系统基础架构,由于服务器直接在开放了 Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口,黑客可以通过命令行操作多个目录下的数据,如进行删除,下载,目录浏览甚至命令执行等操作,产生极大的危害。
Hadoop-yarn-未授权访问漏洞
Biu_Biu_Bi的博客
01-04 3154
Hadoop是一个由Apache基金会所开发的分布式系统基础架构,由于服务器直接在开放了 Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口,黑客可以通过命令行操作多个目录下的数据,如进行删除,下载,目录浏览甚至命令执行等操作,产生极大的危害。
服务攻防-数据库安全-服务应用的安全问题以及测试流程-Mysql&Hadoop&未授权访问&RCE-漏洞复现
ran的博客
05-05 3159
因为其服务是放在内网主机上面的,在内网内开了许多服务(端口 ),比如web和数据库,但是其只将web映射到外网,所以我们只能看到其服务在外网是开的,但是在进行扫描的时候我们扫描的仅仅是组网主机,而组网主机会将数据转发到内网再做处理,所以我们检测不到对应服务端口的开放。有些服务是通过口令验证来去判断服务的启动和禁用的,比如数据库里面有一些数据库里面就内置的数据库的用户,包括账号和密码,如果说设置的这个账号和密码过于简单的话,那么攻击者就可以通过弱口令的猜解得到账号以及密码之后进入,来进行一些安全的测试。
Hadoop生态漏洞修复记录
manweizhizhuxia的博客
03-28 2964
Hadoop、zookeeper、hive漏洞修复
hadoop_apache-hive-1.2.1-bin.rar linux用
06-16
在“hadoop_apache-hive-1.2.1-bin.rar”这个压缩包中,包含了Apache Hive 1.2.1版本的完整安装包,适用于Linux操作系统。 Hive 的核心组件包括: 1. **元数据存储**:Hive 通过一个元数据库(通常可以是MySQL或...
hdfs_design.rar_HDFS-OPERATE_hadoop_hadoop java_hdfs
09-23
Hadoop分布式文件系统(HDFS)是Apache Hadoop项目的核心组件之一,它为大规模数据处理提供了可扩展、高容错性的存储解决方案。本资料集围绕“hdfs_design.rar”这个压缩包,详细介绍了HDFS的原理、操作以及在Java...
hdfs-webdav.rar_hadoop_hadoop webdav_hadoop 系统_hadoop2.0 d_hdfs
09-20
标题中的"hdfs-webdav.rar"表明这是一个关于Hadoop分布式文件系统(HDFS)与WebDAV集成的压缩包资源。WebDAV是一种基于HTTP协议的协议,允许用户编辑和管理存储在远程服务器上的文件。在Hadoop生态系统中,通过...
hadoop插件apache-hadoop-3.1.0-winutils-master.zip
12-17
标题中的"apache-hadoop-3.1.0-winutils-master.zip"是一个针对Windows用户的Hadoop工具包,它包含了运行Hadoop所需的特定于Windows的工具和配置。`winutils.exe`是这个工具包的关键组件,它是Hadoop在Windows上的一...
hadoop2.6_Win_x64-master
05-16
标签"hadoop-2.6"进一步确认了这个压缩包与Hadoop 2.6版本有关,这是Hadoop发展过程中的一个重要版本,引入了许多性能优化和功能增强,比如YARN资源管理器的改进,使得Hadoop更加适合大规模的数据处理需求。...
【墨者学院 】uWSGI 漏洞复现(CVE-2018-7490)
热门推荐
Summer's blog
05-13 1万+
0x01 漏洞详情 uWSGI是一款Web应用程序服务器,它实现了WSGI、uwsgi和http等协议。 uWSGI 2.0.17之前版本中存在路径遍历漏洞,该漏洞源于程序没有正确的处理DOCUMENT_ROOT检测。攻击者可通过发送带有‘…’序列的特制URL请求利用该漏洞查看系统上的任意文件。 uWSGI 2.0.17之前版本中存在路径遍历漏洞,该漏洞源于程序没有正确的处理DOCUMENT_RO...
hadoop应用开发技术..._渗透技巧Hadoop命令执行
weixin_39895486的博客
11-29 267
0X00Hadoop介绍和漏洞原理Hadoop是一个由Apache的分布式系统基础架构,用户可开发分布式程序,充分利用集群的威力进行高速运算和存储,实现了一个分布式文件系统(Hadoop Distributed File System)。其中HDFS组件有高容错性的特点,并且部署在低廉的(low-cost)硬件上即可提供高吞吐量(high throughput)来访问应用程序的数...
数据库安全-Redis未授权&Hadoop&Mysql&未授权访问&RCE 漏洞复现
rumil的博客
10-13 1376
未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露,包括端口的未授权常见页面的未授权 /admin.php /menu.php常见的未授权访问漏洞及默认端口:默认端口统计:8095, 8161, 9100, 9200, 9300, 11211, 15672, 15692, 20048, 25672, 27017]等待。
漏洞复现 || Hadoop未授权访问反弹Shell漏洞
失心少年
07-13 1138
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。Hadoop是一个由Apache基金会所开发的分布式系统基础架构,由于服务器直接在开放了 Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口,黑客可以通过命令行操作多个目录下的数据,如进行删除,下载,目录浏览甚至命令执行等操作,产生极大的危害。
漏洞公告】CVE-2017-7669:Apache Hadoop远程权限提升漏洞
weixin_30640769的博客
06-09 485
原文链接 ApacheHadoop是支持数据密集型分布式应用并以Apache 2.0许可协议发布的软件框架,Apache Hadoop 2.8.0版本、3.0.0-alpha1版本和3.0.0-alpha2版本中存在安全漏洞,该漏洞源于程序没有充分的执行输入验证。攻击者可利用该漏洞以root权限执行命令。具体详情如下:...
Apache服务器现3个致命漏洞,黑客可远程监听
w3cschools的博客
08-25 814
如果您的Web服务器在Apache上运行,则应立即安装该服务器应用程序的最新可用版本,以防止黑客对其进行未经授权的控制。 Apache最近修复了其Web服务器软件中的多个漏洞,这些漏洞可能导致执行任意代码,在特定情况下,甚至可能使攻击者导致崩溃和拒绝服务。这些漏洞,分别是CVE-2020-9490,CVE-2020-11984,CVE-2020-11993,并由Apache Foundation在最新版本的软件中予以解决(2.4.46)。 这3个问题中的第一个涉及由于“ mod_uwsgi”模块(C
Hadoop未授权访问 getshell——漏洞复现
W小哥
11-05 8510
Hadoop是一个由Apache基金会所开发的分布式系统基础架构,由于服务器直接在开放了 Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口,黑客可以通过命令行操作多个目录下的数据,如进行删除,下载,目录浏览甚至命令执行等操作,产生极大的危害。 ...
Apache Spark 命令注入漏洞CVE-2022-33891)修复与利用
Apache Spark 命令注入漏洞CVE-2022-33891) Apache Spark 命令注入漏洞CVE-2022-33891)是 Apache Spark 中的一种高危漏洞,允许攻击者通过命令注入来执行恶意命令,从而控制服务器。该漏洞影响 Apache Spark ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值