0x00 漏洞概述

CVE ID

CVE-2020-9492

时 间

2021-01-27

类 型

权限提升

等 级

高危

远程利用

影响范围

0x01 漏洞详情

Apache Hadoop是一套用于由通用硬件构建的大型集群上运行应用程序的框架,它实现了Map/Reduce编程范型,计算任务会被多次分割成小块并运行在不同的节点上。除此之外,它还提供了一款分布式文件系统(HDFS),数据被存储在计算节点上以提供高效的跨数据中心聚合带宽。

2021年01月26日,Apache发布安全公告,公开了Apache Hadoop中一个潜在的权限提升漏洞(CVE-2020-9492)。

WebHDFS客户端可能会在没有适当验证的情况下将SPNEGO授权标头发送到远程URL,攻击者可以通过利用此漏洞将服务器凭证发送到webhdfs路径来获取服务主体。

影响范围

Apache Hadoop3.2.0-3.2.1

Apache Hadoop 3.0.0-alpha1-3.1.3

Apache Hadoop 2.0.0-alpha-2.10.0

0x02 处置建议

目前,该漏洞的补丁暂未发布,建议及时应用以下缓解措施。

缓解措施

设置不同的http签名机密,并使用专用主机进行每个权限模拟服务(如HiveServer2)。

升级到3.3.0、3.2.2、3.1.4、2.10.1或更新的TLS加密版本,启用并将dfs.http.policy配置为HTTPS_ONLY。

0x03 参考链接

http://mail-archives.apache.org/mod_mbox/www-announce/202101.mbox/%3CCAP+3qq6eDjjZG-G03RFRj9rrG4r1u=891UUEU2S8fbOCKTe4QA@mail.gmail.com%3E

https://hadoop2help.blogspot.com/2021/01/cve-2020-9492-apache-hadoop-potential.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9492

0x04 时间线

2021-01-26 Apache发布安全公告

2021-01-27 VSRC发布安全通告

0x05 附录

CVSS评分标准官网:http://www.first.org/cvss/

声明:本文来自维他命安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。