Apache Hadoop潜在权限提升误差（CVE-2020-9492）-人生就是博

首页 > 清静研究 > 清静转达 > 清静通告

宣布时间 2021-01-27

Apache Hadoop是一套用于由通用硬件构建的大型集群上运行应用程序的框架，，它实现了Map/Reduce编程范型，，盘算使命会被多次支解成小块并运行在差别的节点上。。除此之外，，它还提供了一款漫衍式文件系统（HDFS），，数据被存储在盘算节点上以提供高效的跨数据中心聚合带宽。。

2021年01月26日，，Apache宣布清静通告，，果真了Apache Hadoop中一个潜在的权限提升误差（CVE-2020-9492）。。

WebHDFS客户端可能会在没有适当验证的情形下将SPNEGO授权标头发送到远程URL，，攻击者可以通过使用此误差将效劳器凭证发送到webhdfs路径来获取效劳主体。。

影响规模

Apache Hadoop 3.2.0-3.2.1

Apache Hadoop 3.0.0-alpha1-3.1.3

Apache Hadoop 2.0.0-alpha-2.10.0

现在，，该误差的补丁暂未宣布，，建议实时应用以下缓解步伐。。

缓解步伐

设置差别的http署名神秘，，并使用专用主机举行每个权限模拟效劳（如HiveServer2）。。

升级到3.3.0、3.2.2、3.1.4、2.10.1或更新的TLS加密版本，，启用并将dfs.http.policy设置为HTTPS_ONLY。。

http://mail-archives.apache.org/mod_mbox/www-announce/202101.mbox/%3CCAP+3qq6eDjjZG-G03RFRj9rrG4r1u=891UUEU2S8fbOCKTe4QA@mail.gmail.com%3E

https://hadoop2help.blogspot.com/2021/01/cve-2020-9492-apache-hadoop-potential.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9492

2021-01-26 Apache宣布清静通告

2021-01-27 VSRC宣布清静通告

CVSS评分标准官网：http://www.first.org/cvss/

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明