HP Vertica企业大数据分析平台爆出远程提权漏洞 4.1及以后版本受影响 绿盟科技发布安全威胁通告

本文涉及的产品
云原生大数据计算服务MaxCompute,500CU*H 100GB 3个月
云原生大数据计算服务 MaxCompute,5000CU*H 100GB 3个月
简介:

Fortinet向HP提报了一个 hpe vertica大数据分析平台中的远程提权漏洞CVE-2017-5802,攻击者可以远程利用此漏洞获得特权访问。HP已经给出各版本的升级补丁。绿盟科技发布《 HPE Vertica Analytics Platform远程特权访问漏洞安全威胁通告 》,通告全文见下方后半部分。

Vertica是一款基于列存储的MPP (massively parallel processing)架构的数据库。它可以支持存放多至PB(Petabyte)级别的结构化数据。Vertica是由关系数据库大师Michael Stonebraker(2014 年图灵奖获得者)所创建,于2011年被惠普收购并成为其核心大数据平台软件。公告主要内容如下:

HP发布HP Vertica企业大数据分析平台漏洞公告

HPE Vertica Analytics Platform上发现了一个潜在漏洞。这个漏洞可能导致远程提权

参考信息: CVE-2017-5802 - Remote Gain Privileged Access

影响范围

HP Vertica Analytics Platform  v4.1 及之后的版本

解决方案

用户请将HPE升级到如下版本,以便修复漏洞

注: For Vertica versions prior to 6.1.3, 请联系 HPE Technical Support 获取帮助。

要在运行惠普企业 (hpe) 软件产品的系统上安装第三方安全修补程序,应遵循客户的补丁管理策略。

绿盟科技发布《 HPE Vertica Analytics Platform远程特权访问漏洞安全威胁通告 

通告全文如下

当地时间2017年4月17日(北京时间2017年4月18日),HP官方发布安全通告,披露了一个由Fortinet提供的关于HPE Vertica Analytics Platform产品存在远程特权访问的漏洞,CVE编号为 CVE-2017-5802 ,CVSS评分如下:

CVE

V3标准

V3评分

V2标准

V2评分

CVE-2017-5802

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

9.8

(AV:N/AC:M/Au:N/C:C/I:C/A:C)

9.3

针对本次安全问题,HP官方已经发布新版本,官方网站如下:

https://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-hpesbgn03734en_us

HPE Vertica Analytics Platform

此产品为企业面向集群的大数据分析与管理平台,能够提供非常快速的查询性能,主要用于数据仓库和其他查询密集型的应用程序。

该产品声称能大大改善传统关系数据库系统的查询性能,提供高可用性和高可扩展性,支持高达PB级别的数据量。

受影响的版本

官方目前支持的版本:

  • HP Vertica Analytics Platform Version >= 4.1

不受影响的版本

  • HP Vertica Analytics Platform Version v8.1.0-1
  • HP Vertica Analytics Platform Version v8.0.1-3
  • HP Vertica Analytics Platform Version v7.2.3-18
  • HP Vertica Analytics Platform Version v7.1.2-21
  • HP Vertica Analytics Platform Version v7.0.2-13
  • HP Vertica Analytics Platform Version v6.1.3-20

规避方案

  • 如果使用了受影响的版本,请尽快升级到不受影响的版本,升级方案如下:

注意:如果使用的是6.1.3之前的版本,请联系HP官方技术支持进行解决。

绿盟科技声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。


原文发布时间:2017年3月14日

本文由:HPE发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/hpe-vertica-analytics-platform-cve-2017-5802

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

相关实践学习
基于MaxCompute的热门话题分析
本实验围绕社交用户发布的文章做了详尽的分析,通过分析能得到用户群体年龄分布,性别分布,地理位置分布,以及热门话题的热度。
SaaS 模式云数据仓库必修课
本课程由阿里云开发者社区和阿里云大数据团队共同出品,是SaaS模式云原生数据仓库领导者MaxCompute核心课程。本课程由阿里云资深产品和技术专家们从概念到方法,从场景到实践,体系化的将阿里巴巴飞天大数据平台10多年的经过验证的方法与实践深入浅出的讲给开发者们。帮助大数据开发者快速了解并掌握SaaS模式的云原生的数据仓库,助力开发者学习了解先进的技术栈,并能在实际业务中敏捷的进行大数据分析,赋能企业业务。 通过本课程可以了解SaaS模式云原生数据仓库领导者MaxCompute核心功能及典型适用场景,可应用MaxCompute实现数仓搭建,快速进行大数据分析。适合大数据工程师、大数据分析师 大量数据需要处理、存储和管理,需要搭建数据仓库?学它! 没有足够人员和经验来运维大数据平台,不想自建IDC买机器,需要免运维的大数据平台?会SQL就等于会大数据?学它! 想知道大数据用得对不对,想用更少的钱得到持续演进的数仓能力?获得极致弹性的计算资源和更好的性能,以及持续保护数据安全的生产环境?学它! 想要获得灵活的分析能力,快速洞察数据规律特征?想要兼得数据湖的灵活性与数据仓库的成长性?学它! 出品人:阿里云大数据产品及研发团队专家 产品 MaxCompute 官网 https://www.aliyun.com/product/odps 
相关文章
|
SQL 前端开发 Java
大数据平台底层技术-JAVA篇-如何动态加载不同版本的 HIVE JDBC 驱动 - 一文读懂JAVA的类加载机制 1
大数据平台底层技术-JAVA篇-如何动态加载不同版本的 HIVE JDBC 驱动 - 一文读懂JAVA的类加载机制
|
DataWorks 数据可视化 前端开发
《阿里云飞天大数据平台 DataWorks 前端技术解密:工作流调度可视化》(脱敏版本)
## ![image.png](https://intranetproxy.alipay.com/skylark/lark/0/2021/png/13481/1614773723538-e8d99a86-b04d-47bb-86ad-90cdb07ac657.png#height=220&id=QQWI7&margin=%5Bobject%20Object%5D&name=image.png&or
818 0
|
4月前
|
机器学习/深度学习 分布式计算 大数据
MaxCompute产品使用合集之如何从Dataphin使用界面查看版本
MaxCompute作为一款全面的大数据处理平台,广泛应用于各类大数据分析、数据挖掘、BI及机器学习场景。掌握其核心功能、熟练操作流程、遵循最佳实践,可以帮助用户高效、安全地管理和利用海量数据。以下是一个关于MaxCompute产品使用的合集,涵盖了其核心功能、应用场景、操作流程以及最佳实践等内容。
|
SQL Java 大数据
大数据平台底层技术-JAVA篇-如何动态加载不同版本的 HIVE JDBC 驱动 - 一文读懂JAVA的类加载机制 2
大数据平台底层技术-JAVA篇-如何动态加载不同版本的 HIVE JDBC 驱动 - 一文读懂JAVA的类加载机制
|
12月前
|
分布式计算 大数据 Java
大数据计算MaxCompute本身的版本有吗?
大数据计算MaxCompute本身的版本有吗?
63 3
|
SQL 分布式计算 大数据
分享一个大数据应用因为和大数据集群服务端组件的版本冲突引起的问题
分享一个大数据应用因为和大数据集群服务端组件的版本冲突引起的问题
|
XML 自然语言处理 运维
【大数据开发运维解决方案】Solr6.2默认相似性算法检索匹配得分高于5.1版本问题分析
我们之前使用的solr版本是solr5.1,分词器使用的是jcseg1.9.6,后续接触了Solr6.2,分词器使用的是jcseg2.6.0,发现同一个Oracle库的同一套表数据,分别使用solr5.1和solr6.2版本的模板collection配置集做相同的字段配置并成功做索引后,做相同查询,solr6.2检索文档score远高于solr5.1,下面是我们使用的两个solr环境以及另一个单机solr测试环境的基本情况:
【大数据开发运维解决方案】Solr6.2默认相似性算法检索匹配得分高于5.1版本问题分析
|
运维 分布式计算 Hadoop
【大数据开发运维解决方案】Elasticsearch+Logstash+Kibana(6.7.1版本)安装部署
Elasticsearch+Logstash+Kibana(6.7.1版本)安装部署 目前Elasticsearch、Logstash、Kibana三个组件都准备安装在虚拟机供个人学习使用。 一、部署Elasticsearch 1、下载安装包 官网下载地址: ES下载官网 选择Elasticsearch组件 2、上传解压安装包 [root@s133061 elk]# pwd /hadoop/elk [root@s133061 elk]# ls elasticsearch-6.7.1.tar.gz kiba
【大数据开发运维解决方案】Elasticsearch+Logstash+Kibana(6.7.1版本)安装部署
|
IDE 安全 Java
Java 版本、语言规范、API、JDK、IDE、Java 源程序编译、执行原理(跨平台性根本原因)、特殊字符用法、8 大数据类型小结
Java 版本、语言规范、API、JDK、IDE、Java 源程序编译、执行原理(跨平台性根本原因)、特殊字符用法、8 大数据类型小结
206 0
Java 版本、语言规范、API、JDK、IDE、Java 源程序编译、执行原理(跨平台性根本原因)、特殊字符用法、8 大数据类型小结
|
关系型数据库 MySQL 大数据
【大数据系列之MySQL】(七):MySQL查看版本号的三种方式
【大数据系列之MySQL】(七):MySQL查看版本号的三种方式
184 0
【大数据系列之MySQL】(七):MySQL查看版本号的三种方式