Hadoop CVE List

该页面列出了Hadoop PMC认为需要执行CVE的安全修复程序. 如果您认为此列表中缺少某些内容,或者您​​认为受影响或固定版本的集合不完整,请在"安全性"列表中询问 .

CVE以最新的公告顺序显示.

CVE-2018-11768 Apache Hadoop HDFS FSImage Corruption

用于存储内存和磁盘表示形式的用户/组信息的字段大小不匹配. 这会导致用户/组信息在存储在fsimage中以及从fsimage读回时被破坏.

此漏洞修复程序包含fsimage布局更改,因此,以新的布局格式保存图像后,您将无法返回不支持较新布局的版本. 这意味着一旦2.7.x用户升级到固定版本,他们将无法降级到2.7.x,因为2.7.x中没有固定版本. 我们建议降级到包含漏洞修复的2.8.5或更高版本.

CVE-2018-8029 Apache Hadoop Privilege escalation vulnerability

可以升级为纱线用户的用户可以以root用户身份运行任意命令.

CVE-2018-11767 Apache Hadoop KMS ACL regression

在CVE-2017-15713安全修复程序之后,如果系统使用非默认组映射机制(例如LdapGroupsMapping,CompositeGroupsMapping或NullGroupsMapping),则KMS具有访问控制回归,阻止用户或错误地授予用户访问权限.

CVE-2018-1296 Apache Hadoop HDFS Permissive listXAttr Authorization

HDFS在listXAttrs期间公开扩展的属性键/值对,仅验证对目录的路径级搜索访问,而不验证对引用对象的路径级读取权限. 这会影响将敏感数据存储在扩展属性中的功能,例如HDFS加密密钥.

CVE-2018-11766 Apache Hadoop privilege escalation vulnerability

在Apache Hadoop 2.7.4至2.7.6中,CVE-2016-6811的安全修复程序不完整. 可以升级为纱线用户的用户可以以root用户身份运行任意命令.

CVE-2018-8009 Apache Hadoop distributed cache archive vulnerability

漏洞使群集用户可以发布公共存档,从而可能影响运行YARN NodeManager守护程序的用户拥有的其他文件. 如果受影响的文件属于该节点上另一个已本地化的公共存档,则可以使用该公共存档将代码注入其他群集用户的作业中.

CVE-2016-6811 Apache Hadoop Privilege escalation vulnerability

可以升级为纱线用户的用户可以以root用户身份运行任意命令.

注意:此漏洞的修复在Apache Hadoop 2.7.4至2.7.6(CVE-2018-11766)中不完整.

CVE-2017-15718 Apache Hadoop YARN NodeManager vulnerability

在Apache Hadoop 2.7.3和2.7.4中,CVE-2016-3086的安全修复程序不完整. YARN NodeManager可以将NodeManager使用的凭据存储提供程序的密码泄露给YARN Applications.

如果使用CredentialProvider功能对NodeManager配置中使用的密码进行加密,则该NodeManager启动的任何Container都有可能获得对加密密码的访问权限. 其他密码本身不会直接公开.

CVE-2017-15713 Apache Hadoop MapReduce job history server vulnerability

漏洞允许群集用户公开运行MapReduce作业历史服务器进程的用户所拥有的私有文件. 恶意用户可以构造一个包含XML指令的配置文件,这些指令引用MapReduce作业历史服务器主机上的敏感文件.

CVE-2017-3166 Apache Hadoop Privilege escalation vulnerability

在已授予YARN用户访问所有HDFS加密密钥的群集中,如果通过YARN的本地化机制(例如,通过MapReduce分布式缓存)对具有访问权限的加密区域中的文件进行了全球可读的本地化,则该文件将为存储在世界可读的位置,并与请求本地化该文件的任何应用程序自由共享,无论应用程序所有者是谁,还是应允许该用户从目标加密区域访问文件.

by  ICOPY.SITE