【漏洞公告】CVE-2017-15718:Apache Hadoop YARN NodeManager信息泄露漏洞

漏洞管理与修复

概述

Apache Hadoop YARN NodeManager被曝存在信息泄露漏洞（CVE-2017-15718），该漏洞影响版本为Hadoop 2.7.3及2.7.4。此漏洞源于之前针对CVE-2016-3086的安全修复不彻底，导致YARN NodeManager可能泄露凭证存储提供程序的密码，这些凭据由NodeManager用于YARN应用。如果您的系统使用credentialprovider功能加密密码并配置于nodemanager，则由nodemanager启动的任何容器理论上能够获取到这些加密密码，虽然其他未加密密码不受直接影响。攻击者可利用公开的PoC远程实施攻击，故官方将其评级为高危。

识别漏洞与检测

• 受影响范围：确认您的Hadoop版本是否为2.7.3或2.7.4。
• 检测方法：直接检查当前部署的Hadoop版本号，对比受影响版本列表即可确定是否存在此漏洞。

修复操作

• 升级建议：官方已发布安全更新，强烈建议将Hadoop从受影响版本升级至2.7.5或更高版本。这是最根本的解决措施。
• 临时缓解措施：若短期内无法升级，应立即调整JCEKS文件权限，确保未经授权的用户无法访问这些敏感凭证文件，以减少风险暴露。

注意事项

• 权限设置：在进行文件权限调整时，务必谨慎操作，避免因权限设置不当导致其他服务异常。
• 数据备份：在执行任何升级操作前，使用ECS快照或其他备份手段确保数据安全，以防升级过程中发生意外。
• 测试验证：升级后，在生产环境部署前，应在测试环境中充分验证系统兼容性和稳定性。

总结与建议

鉴于该漏洞的严重性，及时采取行动至关重要。首先，通过上述步骤识别系统是否受此漏洞影响；其次，根据实际情况选择合适的修复路径，优先考虑版本升级；同时，采取必要的临时措施保护凭证安全，并确保在整个过程中有完备的数据保护措施。请持续关注Apache Hadoop官方安全公告，以便及时获得最新的安全更新和指导。