尊龙凯时

首页 > 清静研究 > 清静转达 > 清静通告

Apache Hadoop潜在权限提升误差（CVE-2020-9492）

宣布时间 2021-01-27

0x00 误差概述

CVE ID	CVE-2020-9492	时间	2021-01-27
类型	权限提升	等级	高危
远程使用	是	影响规模

0x01 误差详情

Apache Hadoop是一套用于由通用硬件构建的大型集群上运行应用程序的框架，它实现了Map/Reduce编程范型，盘算使命会被多次支解成小块并运行在差别的节点上。除此之外，它还提供了一款漫衍式文件系统（HDFS），数据被存储在盘算节点上以提供高效的跨数据中心聚合带宽。

2021年01月26日，Apache宣布清静通告，果真了Apache Hadoop中一个潜在的权限提升误差（CVE-2020-9492）。

WebHDFS客户端可能会在没有适当验证的情形下将SPNEGO授权标头发送到远程URL，攻击者可以通过使用此误差将服务器凭证发送到webhdfs路径来获取服务主体。

影响规模

Apache Hadoop 3.2.0-3.2.1

Apache Hadoop 3.0.0-alpha1-3.1.3

Apache Hadoop 2.0.0-alpha-2.10.0

0x02 处置惩罚建议

现在，该误差的补丁暂未宣布，建议实时应用以下缓解步伐。

缓解步伐

设置差别的http署名神秘，并使用专用主机举行每个权限模拟服务（如HiveServer2）。

升级到3.3.0、3.2.2、3.1.4、2.10.1或更新的TLS加密版本，启用并将dfs.http.policy设置为HTTPS_ONLY。

0x03 参考链接

http://mail-archives.apache.org/mod_mbox/www-announce/202101.mbox/%3CCAP+3qq6eDjjZG-G03RFRj9rrG4r1u=891UUEU2S8fbOCKTe4QA@mail.gmail.com%3E

https://hadoop2help.blogspot.com/2021/01/cve-2020-9492-apache-hadoop-potential.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9492

0x04 时间线

2021-01-26 Apache宣布清静通告

2021-01-27 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 尊龙凯时版权所有京ICP备05032414号京公网安备11010802024551号