Fortinet向HP提报了一个 hpe vertica大数据分析平台中的远程提权漏洞CVE-2017-5802,攻击者可以远程利用此漏洞获得特权访问。HP已经给出各版本的升级补丁。绿盟科技发布《 HPE Vertica Analytics Platform远程特权访问漏洞安全威胁通告 》,通告全文见下方后半部分。
Vertica是一款基于列存储的MPP (massively parallel processing)架构的数据库。它可以支持存放多至PB(Petabyte)级别的结构化数据。Vertica是由关系数据库大师Michael Stonebraker(2014 年图灵奖获得者)所创建,于2011年被惠普收购并成为其核心大数据平台软件。公告主要内容如下:
HP发布HP Vertica企业大数据分析平台漏洞公告
HPE Vertica Analytics Platform上发现了一个潜在漏洞。这个漏洞可能导致远程提权
参考信息: CVE-2017-5802 - Remote Gain Privileged Access
影响范围
HP Vertica Analytics Platform v4.1 及之后的版本
解决方案
用户请将HPE升级到如下版本,以便修复漏洞
- For v8.1.0-1 - https://my.vertica.com/download/vertica/8-1-x/
- For v8.0.1-3 - https://my.vertica.com/download/vertica/8-0-x/
- For v7.2.3-18 - https://my.vertica.com/download/vertica/7-2-x/
- For v7.1.2-21 - https://my.vertica.com/download/vertica/7-1-x/
- For v7.0.2-13 - https://my.vertica.com/download/vertica/7-0-x/
- For v6.1.3-20 - https://my.vertica.com/download/vertica/6-1-x/
注: For Vertica versions prior to 6.1.3, 请联系 HPE Technical Support 获取帮助。
要在运行惠普企业 (hpe) 软件产品的系统上安装第三方安全修补程序,应遵循客户的补丁管理策略。
绿盟科技发布《 HPE Vertica Analytics Platform远程特权访问漏洞安全威胁通告 》
通告全文如下
当地时间2017年4月17日(北京时间2017年4月18日),HP官方发布安全通告,披露了一个由Fortinet提供的关于HPE Vertica Analytics Platform产品存在远程特权访问的漏洞,CVE编号为 CVE-2017-5802 ,CVSS评分如下:
CVE |
V3标准 |
V3评分 |
V2标准 |
V2评分 |
CVE-2017-5802 |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
9.8 |
(AV:N/AC:M/Au:N/C:C/I:C/A:C) |
9.3 |
针对本次安全问题,HP官方已经发布新版本,官方网站如下:
https://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-hpesbgn03734en_us
HPE Vertica Analytics Platform
此产品为企业面向集群的大数据分析与管理平台,能够提供非常快速的查询性能,主要用于数据仓库和其他查询密集型的应用程序。
该产品声称能大大改善传统关系数据库系统的查询性能,提供高可用性和高可扩展性,支持高达PB级别的数据量。
受影响的版本
官方目前支持的版本:
- HP Vertica Analytics Platform Version >= 4.1
不受影响的版本
- HP Vertica Analytics Platform Version v8.1.0-1
- HP Vertica Analytics Platform Version v8.0.1-3
- HP Vertica Analytics Platform Version v7.2.3-18
- HP Vertica Analytics Platform Version v7.1.2-21
- HP Vertica Analytics Platform Version v7.0.2-13
- HP Vertica Analytics Platform Version v6.1.3-20
规避方案
- 如果使用了受影响的版本,请尽快升级到不受影响的版本,升级方案如下:
- v8.1.x : https://my.vertica.com/download/vertica/8-1-x/
- v8.0.x : https://my.vertica.com/download/vertica/8-0-x/
- v7.2.x : https://my.vertica.com/download/vertica/7-2-x/
- v7.1.x : https://my.vertica.com/download/vertica/7-1-x/
- v7.0.x : https://my.vertica.com/download/vertica/7-0-x/
- v6.1.x : https://my.vertica.com/download/vertica/6-1-x/
注意:如果使用的是6.1.3之前的版本,请联系HP官方技术支持进行解决。
绿盟科技声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
原文发布时间:2017年3月14日
本文由:HPE发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/hpe-vertica-analytics-platform-cve-2017-5802
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站