Apache Hadoop潜在权限提升漏洞(CVE-2020-9492)
发布时间 2021-01-270x00 漏洞概述
CVE ID | CVE-2020-9492 | 时 间 | 2021-01-27 |
类 型 | 权限提升 | 等 级 | 高危 |
远程利用 | 是 | 影响范围 |
0x01 漏洞详情
Apache Hadoop是一套用于由通用硬件构建的大型集群上运行应用程序的框架,它实现了Map/Reduce编程范型,计算任务会被多次分割成小块并运行在不同的节点上。除此之外,它还提供了一款分布式文件系统(HDFS),数据被存储在计算节点上以提供高效的跨数据中心聚合带宽。
2021年01月26日,Apache发布安全公告,公开了Apache Hadoop中一个潜在的权限提升漏洞(CVE-2020-9492)。
WebHDFS客户端可能会在没有适当验证的情况下将SPNEGO授权标头发送到远程URL,攻击者可以通过利用此漏洞将服务器凭证发送到webhdfs路径来获取服务主体。
影响范围
Apache Hadoop 3.2.0-3.2.1
Apache Hadoop 3.0.0-alpha1-3.1.3
Apache Hadoop 2.0.0-alpha-2.10.0
0x02 处置建议
目前,该漏洞的补丁暂未发布,建议及时应用以下缓解措施。
缓解措施
设置不同的http签名机密,并使用专用主机进行每个权限模拟服务(如HiveServer2)。
升级到3.3.0、3.2.2、3.1.4、2.10.1或更新的TLS加密版本,启用并将dfs.http.policy配置为HTTPS_ONLY。
0x03 参考链接
http://mail-archives.apache.org/mod_mbox/www-announce/202101.mbox/%3CCAP+3qq6eDjjZG-G03RFRj9rrG4r1u=891UUEU2S8fbOCKTe4QA@mail.gmail.com%3E
https://hadoop2help.blogspot.com/2021/01/cve-2020-9492-apache-hadoop-potential.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9492
0x04 时间线
2021-01-26 Apache发布安全公告
2021-01-27 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/
京公网安备11010802024551号