之前,安全加报道过 Hadoop集群遭遇勒索软件攻击,据称中国有8300多个Hadoop集群暴露在互联网上 。6月2日,Allen Wittenauer提报了Apache Hadoop 提权漏洞CVE-2017-7669,seclists将其标识为关键漏洞等级,漏洞影响Apache Hadoop 2.8.0, Hadoop 3.0.0-alpha1及 Hadoop 3.0.0-alpha2
Hadoop提权漏洞描述
在linuxcontainerexecutor使用root权限运行docker,对于输入验证不足。当docker功能启用,认证用户用户可以root权限执行命令。
Hadoop提权漏洞缓解方案
Apache Hadoop 2.8.0用户, 请禁用 Docker 功能,直至 Hadoop 2.8.1 发布
Apache Hadoop 3.0.0-alpha1 及 Hadoop 3.0.0-alpha2 用户,请升级到 Hadoop 3.0.0-alpha3 及更高版本
https://mail-archives.apache.org/mod_mbox/hadoop-user/201706.mbox/%3C4A2FDA56-491B-4C2A-915F-C9D4A4BDB92A%40apache.org%3E
Hadoop是什么
Hadoop 是一个由Apache基金会所开发的分布式系统基础架构。用户可以在不了解分布式底层细节的情况下,开发分布式程序。充分利用集群的威力进行高速运算和存储。在大数据领域有很多的应用。
Apache Hadoop是一款支持数据密集型分布式应用并以Apache 2.0许可协议发布的开源软件框架,由Java语言实现,以计算机集群的形式实现对海量数据的分布式计算,可编写和运行分布式应用、处理大规模数据。Hadoop框架的两个核心设计是HDFS(Hadoop Distributed File System)和MapReduce。HDFS是一个分布式文件系统,具有高容错性的特点,并且被设计用来部署在廉价的硬件上;而且它能够以高吞吐量来访问应用程序的数据,尤其适合那些有着超大数据集的应用程序。MapReduce是一个使用简易的软件框架,基于它编写出来的应用程序能够运行在由上千个商用机器组成的大型集群上,并以一种可靠容错的方式并行处理上T级别的数据集。
原文发布时间:2017年6月8日
本文由:securelist发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/hadoop-privilege-escalation-cve-2017-7669
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
