全部产品
Search
文档中心

【漏洞公告】CVE-2017-15708:Apache Synapse远程代码执行漏洞

更新时间: 2018-05-09

Apache Hadoop YARN NodeManager 存在CVE编号为CVE-2017-15718的信息泄露漏洞。攻击者可能利用该漏洞获得应用密码,受影响的Apache Hadoop版本有 2.7.3及2.7.4。该漏洞是由于CVE-2016-3086安全漏洞修复不完整导致。

YARN NodeManager可能泄漏用于YARN应用的凭证存储程序的密码。如果您使用credentialprovider功能来加密密码,并应用于Nodemanager配置,Nodemanager启动的任何容器都有可能获取加密密码,而其他密码不受影响。建议您关注并开展自查工作。

漏洞详情见下文。


漏洞编号:

CVE-2017-15718

漏洞名称:

Apache Hadoop YARN NodeManager信息泄露漏洞

官方评级:

高危

漏洞描述:

在Apache Hadoop 2.7.3及2.7.4中,为CVE-2016-3086提供的安全性修复不完整。Nodemanager在使用YARN应用时会调用一个凭证存储程序,而YARN NodeManager可能泄漏该凭证存储程序的密码。

如果您使用credentialprovider功能来加密密码,并应用于Nodemanager配置,Nodemanager启动的任何容器都有可能获取加密密码,而其他密码不受影响。

漏洞利用条件和方式:

通过PoC直接远程利用。

PoC状态:

已公开

漏洞影响范围:

Hadoop 2.7.3、 2.7.4

漏洞检测:

检查是否使用了受影响的Apache Hadoop版本。

漏洞修复建议(或缓解措施):

  • 目前官方已经发布安全版本,使用Apache Hadoop 2.7.3 和 2.7.4版本的用户请尽快升级到 2.7.5以上版本。

  • 如果暂时无法升级,请设置JCEKS文件权限,适当限制未经授权的用户访问。

注意:建议您在版本升级前做好测试工作,同时使用ECS快照功能做好数据备份工作。

情报来源: