【漏洞公告】CVE-2017-7669:Apache Hadoop远程权限提升漏洞
2017-06-09 13:46
1431 查看
原文链接
Apache Hadoop是支持数据密集型分布式应用并以Apache
2.0许可协议发布的软件框架,Apache
Hadoop 2.8.0版本、3.0.0-alpha1版本和3.0.0-alpha2版本中存在安全漏洞,该漏洞源于程序没有充分的执行输入验证。攻击者可利用该漏洞以root权限执行命令。
具体详情如下:
漏洞编号:
CVE-2017-7669
漏洞名称:
Apache Hadoop远程权限提升漏洞
官方评级:
高危
漏洞描述:
Apache Hadoop 2.8.0, 3.0.0-alpha1,
3.0.0-alpha2版本中,LinuxContainerExecutor没有有效验证输入,以root权限运行docker命令。启用docker功能后,经身份验证的用户可以root权限运行命令。
漏洞利用条件和方式:
直接远程利用
漏洞影响范围:
Apache Hadoop 2.8.0版本
3.0.0-alpha1版本
3.0.0-alpha2版本
漏洞检测:
无
漏洞修复建议(或缓解措施):
Apache Hadoop 2.8.0版本的用户升级到2.8.1
Apache Hadoop 3.0.0-alpha1和Hadoop 3.0.0-alpha2用户升级到Hadoop 3.0.0-alpha3版本或以上版本
情报来源:
https://mail-archives.apache.org/mod_mbox/hadoop-user/201706.mbox/<4A2FDA56-491B-4C2A-915F-C9D4A4BDB92A%40apache.org>
原文链接
Apache Hadoop是支持数据密集型分布式应用并以Apache
2.0许可协议发布的软件框架,Apache
Hadoop 2.8.0版本、3.0.0-alpha1版本和3.0.0-alpha2版本中存在安全漏洞,该漏洞源于程序没有充分的执行输入验证。攻击者可利用该漏洞以root权限执行命令。
具体详情如下:
漏洞编号:
CVE-2017-7669
漏洞名称:
Apache Hadoop远程权限提升漏洞
官方评级:
高危
漏洞描述:
Apache Hadoop 2.8.0, 3.0.0-alpha1,
3.0.0-alpha2版本中,LinuxContainerExecutor没有有效验证输入,以root权限运行docker命令。启用docker功能后,经身份验证的用户可以root权限运行命令。
漏洞利用条件和方式:
直接远程利用
漏洞影响范围:
Apache Hadoop 2.8.0版本
3.0.0-alpha1版本
3.0.0-alpha2版本
漏洞检测:
无
漏洞修复建议(或缓解措施):
Apache Hadoop 2.8.0版本的用户升级到2.8.1
Apache Hadoop 3.0.0-alpha1和Hadoop 3.0.0-alpha2用户升级到Hadoop 3.0.0-alpha3版本或以上版本
情报来源:
https://mail-archives.apache.org/mod_mbox/hadoop-user/201706.mbox/<4A2FDA56-491B-4C2A-915F-C9D4A4BDB92A%40apache.org>
原文链接
相关文章推荐
- 【漏洞公告】CVE-2017-9791:Struts(S2-048)远程命令执行漏洞
- [安全漏洞公告专区]【漏洞公告】CVE-2017-9798:“Optionsbleed”-Apache HTTP OPTIONS方法内存泄露漏洞
- 【漏洞公告】CVE-2017-11610:Supervisord 远程命令执行漏洞
- Microsoft Windows 远程权限提升漏洞(CVE-2013-3175)(MS13-062)
- 【漏洞公告】CVE-2017-8464 :Microsoft Windows LNK 远程代码执行漏洞
- 【漏洞公告】CVE-2017-8464 :Microsoft Windows LNK 远程代码执行漏洞
- Apache HTTP Server mod_session_dbd 远程安全漏洞(CVE-2013-2249)
- 悬镜安全实验室丨DirtyCow Linux权限提升漏洞分析(CVE-2016-5195)
- Microsoft Windows权限提升漏洞(CVE-2015-1701)
- CVE-2017-8464 LNK文件(快捷方式)远程代码执行漏洞复现
- 【漏洞公告】CVE-2017-8543:Windows Search远程代码执行漏洞
- 【漏洞公告】CVE-2017-8543:Windows Search远程代码执行漏洞
- Apache Struts2 includeParams属性远程命令执行漏洞(CVE-2013-1966)
- CVE-2014-7911: Android <5.0 Privilege Escalation using ObjectInputStream (权限提升漏洞)
- 漏洞到来:CVE-2017-8620:Windows Search远程代码执行漏洞
- Supervisord远程命令执行漏洞分析(CVE-2017-11610)
- Node.js 反序列化漏洞远程执行代码(CVE-2017-5941)
- DirtyCow Linux权限提升漏洞分析(CVE-2016-5195)
- MongoDB权限提升漏洞(CVE-2013-4650)
- CVE-2015-0235:Linux Glibc幽灵漏洞允许黑客远程获取系统权限