【漏洞公告】CVE-2017-15718:Apache Hadoop YARN NodeManager信息泄露漏洞

近日，Apache Hadoop 大数据平台的YARN NodeManager爆出信息泄露漏洞，CVE编号CVE-2017-15718，攻击者可能获得应用密码。受影响版本Apache Hadoop 2.7.3及2.7.4，之前为cve-2016-3086提供的安全性修复是不完整的。

YARN NodeManager 泄漏凭证存储提供程序的密码，该凭据由nodemanager用于 YARN应用。如果你使用credentialprovider功能加密密码并应用于nodemanager配置，nodemanager启动的任何容器都有可能获取加密密码，其他密码本身不直接暴露，建议用户关注并开展自查工作。

具体详情如下:

---

漏洞编号:
CVE-2017-15718
漏洞名称:
Apache Hadoop YARN NodeManager信息泄露漏洞
官方评级:
高危
漏洞描述:
在Apache Hadoop 2.7.3及2.7.4，为cve-2016-3086提供的安全性修复是不完整的。 YARN NodeManager 泄漏凭证存储提供程序的密码，该凭据由nodemanager用于 YARN应用。如果你使用credentialprovider功能加密密码并应用于nodemanager配置，nodemanager启动的任何容器都有可能获取加密密码，其他密码不受影响。
漏洞利用条件和方式:
通过PoC直接远程利用。
PoC状态:
已公开
漏洞影响范围:
Hadoop 2.7.3, 2.7.4
漏洞检测:
开发人员检查是否使用了受影响版本范围内的Apache Hadoop版本。
漏洞修复建议(或缓解措施):

• 目前官方已经发布安全版本，使用Apache Hadoop 2.7.3 和 2.7.4版本的用户请尽快升级到 2.7.5以上版本 ；
• 如果暂时无法升级，请设置的JCEKS文件权限，适当限制未经授权的用户访问。

提示：建议您在版本升级前做好测试工作，同时使用ECS快照功能做好数据备份工作。
情报来源:

• CVE:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15718
• SecurityFocus:https://www.securityfocus.com/archive/1/541716
• Seclists:http://seclists.org/bugtraq/2018/Jan/92
• Apache官方：https://lists.apache.org/thread.html/773c93c2d8a6a52bbe97610c2b1c2ad205b970e1b8c04fb5b2fccad6@<general.hadoop.apache.org>