GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

Apache Hadoop潜在权限提升缝隙（CVE-2020-9492）

颁布功夫 2021-01-27

0x00 缝隙概述

CVE ID	CVE-2020-9492	时间	2021-01-27
类型	权限提升	等级	高危
远程利用	是	影响领域

0x01 缝隙详情

Apache Hadoop是一套用于由通用硬件构建的大型集群上运行利用法式的框架，它实现了Map/Reduce编程范型，推算工作会被屡次宰割成幼块并运行在分歧的节点上。除此之表，它还提供了一款散布式文件系统（HDFS），数据被存储在推算节点上以提供高效的跨数据中心聚合带宽。

2021年01月26日，Apache颁布安全布告，公开了Apache Hadoop中一个潜在的权限提升缝隙（CVE-2020-9492）。

WebHDFS客户端可能会在没有适当验证的情况下将SPNEGO授权标头发送到远程URL，攻击者能够通过利用此缝隙将服务器凭证发送到webhdfs蹊径来获取服务主体。

影响领域

Apache Hadoop 3.2.0-3.2.1

Apache Hadoop 3.0.0-alpha1-3.1.3

Apache Hadoop 2.0.0-alpha-2.10.0

0x02 措置建议

目前，该缝隙的补丁暂未颁布，建议实时利用以下缓解措施。

缓解措施

设置分歧的http署名机密，并使用专用主机进行每个权限仿照服务（如HiveServer2）。

升级到3.3.0、3.2.2、3.1.4、2.10.1或更新的TLS加密版本，启用并将dfs.http.policy配置为HTTPS_ONLY。

0x03 参考链接

http://mail-archives.apache.org/mod_mbox/www-announce/202101.mbox/%3CCAP+3qq6eDjjZG-G03RFRj9rrG4r1u=891UUEU2S8fbOCKTe4QA@mail.gmail.com%3E

https://hadoop2help.blogspot.com/2021/01/cve-2020-9492-apache-hadoop-potential.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9492

0x04 功夫线

2021-01-26 Apache颁布安全布告

2021-01-27 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】