Apache Hadoop潜在权限提升误差(CVE-2020-9492)

宣布时间 2021-01-27

0x00 误差概述

CVE  ID

CVE-2020-9492

时  间

2021-01-27

类  型

权限提升

等  级

高危

远程使用

影响规模


 

0x01 误差详情

image.png

 

Apache Hadoop是一套用于由通用硬件构建的大型集群上运行应用程序的框架,它实现了Map/Reduce编程范型,盘算使命会被多次支解成小块并运行在差别的节点上。除此之外,它还提供了一款漫衍式文件系统(HDFS),数据被存储在盘算节点上以提供高效的跨数据中心聚合带宽。

2021年01月26日,Apache宣布清静通告,果真了Apache Hadoop中一个潜在的权限提升误差(CVE-2020-9492)。

WebHDFS客户端可能会在没有适当验证的情形下将SPNEGO授权标头发送到远程URL,攻击者可以通过使用此误差将服务器凭证发送到webhdfs路径来获取服务主体。

 

影响规模

Apache Hadoop 3.2.0-3.2.1

Apache Hadoop 3.0.0-alpha1-3.1.3

Apache Hadoop 2.0.0-alpha-2.10.0


0x02 处置惩罚建议

现在,该误差的补丁暂未宣布,建议实时应用以下缓解步伐。

缓解步伐

设置差别的http署名神秘,并使用专用主机举行每个权限模拟服务(如HiveServer2)。

升级到3.3.0、3.2.2、3.1.4、2.10.1或更新的TLS加密版本,启用并将dfs.http.policy设置为HTTPS_ONLY。

 

0x03 参考链接

http://mail-archives.apache.org/mod_mbox/www-announce/202101.mbox/%3CCAP+3qq6eDjjZG-G03RFRj9rrG4r1u=891UUEU2S8fbOCKTe4QA@mail.gmail.com%3E

https://hadoop2help.blogspot.com/2021/01/cve-2020-9492-apache-hadoop-potential.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9492

 

0x04 时间线

2021-01-26  Apache宣布清静通告

2021-01-27  VSRC宣布清静通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/

image.png