Hadoop Yarn RPC未授權(quán)訪問(wèn)漏洞

 漏洞資訊     |      2021-11-16

一、   漏洞描述

Hadoop Yarn RPC未授權(quán)訪問(wèn)漏洞存在于Hadoop Yarn中負(fù)責(zé)資源管理和任務(wù)調(diào)度的ResourceManager,成因是該組件為用戶提供的RPC服務(wù)默認(rèn)情況下無(wú)需認(rèn)證即可訪問(wèn),因此把RPC服務(wù)暴露在公網(wǎng)上是非常危險(xiǎn)的。

 RPC服務(wù)利用這一問(wèn)題會(huì)影響到部分有安全意識(shí)的用戶。一部分用戶基于過(guò)去幾年中基于多種利用Hadoop的歷史蠕蟲(chóng)已經(jīng)意識(shí)到RESTful API的風(fēng)險(xiǎn),通過(guò)配置開(kāi)啟了基于HTTP的認(rèn)證,或通過(guò)防火墻/安全組封禁了RESTful API對(duì)應(yīng)的8088端口,但由于他們沒(méi)有意識(shí)到Hadoop同時(shí)提供RPC服務(wù),并且訪問(wèn)控制機(jī)制開(kāi)啟方式跟REST API不一樣,導(dǎo)致用戶Hadoop集群中RPC服務(wù)所在的8032端口仍然可以未授權(quán)訪問(wèn)。

 經(jīng)測(cè)試可知,對(duì)于8032暴露在互聯(lián)網(wǎng)且未開(kāi)啟kerberos的Hadoop Yarn ResourceManager,編寫(xiě)應(yīng)用程序調(diào)用yarnClient.getApplications()即可查看所有應(yīng)用信息。

二、   漏洞詳情

-  : HADOOP YARN RPC未授權(quán)訪問(wèn)漏洞

CVE: 暫無(wú)

組件:  Apache Hadoop

漏洞類(lèi)型: 代碼問(wèn)題

影響: 服務(wù)器接管

簡(jiǎn)述: 未經(jīng)過(guò)身份驗(yàn)證的攻擊者可利用 Hadoop Yarn RPC 服務(wù)未經(jīng)授權(quán)便可訪問(wèn)的漏洞控制Hadoop Yarn 服務(wù)器并執(zhí)行任意命令。

三、   影響版本

組件

影響產(chǎn)品或系統(tǒng)版本

安全版本

Apache Hadoop

Apache Hadoop 全版本

暫無(wú)

四、   安全版本

見(jiàn)三

五、  安全建議

通用修補(bǔ)建議:

廠商暫未修復(fù)補(bǔ)丁,但已給出緩解方案

緩解方案:

1. Apache Hadoop 官方建議用戶升級(jí)并啟用 Kerberos 的認(rèn)證功能,阻止未經(jīng)授權(quán)的訪問(wèn)。

2. 設(shè)置 Hadoop RPC 服務(wù)所在端口僅對(duì)可信地址開(kāi)放。