Hadoop
Уязвимости
32
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.07577
Распределение по критичности
Критический
6
Высокий
15
Средний
11
Низкий
0
Также сопоставлено как (исходные строки): hadoop
Топ уязвимостей
CVE-2022-26612В Apache Hadoop функция unTar использует функцию unTarUsingJava в Windows и встроенную утилиту tar в Unix и других ОС. В результате запись TAR может создать символическую ссылку в ожидаемом каталоге извлечения, указывающую на внешний каталог. Последующая запись TAR может извлечь произвольный файл во внешний каталог, используя имя символической ссылки. Однако это будет перехвачено той же проверкой targetDirPath в Unix из-за вызова getCanonicalPath. Однако в Windows getCanonicalPath не разрешает символические ссылки, что обходит проверку. unpackEntries во время извлечения TAR следует символическим ссылкам, что позволяет записывать за пределами ожидаемого базового каталога в Windows. Эта проблема была решена в Apache Hadoop 3.2.3.
CVE-2022-25168API FileUtil.unTar(File, File) Apache Hadoop не экранирует имя входного файла перед передачей в оболочку. Злоумышленник может внедрить произвольные команды. Это используется только в Hadoop 3.3 InMemoryAliasMap.completeBootstrapTransfer, который запускается только локальным пользователем. Он использовался в Hadoop 2.x для локализации yarn, что позволяет удаленное выполнение кода. Он используется в Apache Spark из SQL-команды ADD ARCHIVE. Поскольку команда ADD ARCHIVE добавляет новые двоичные файлы в classpath, возможность выполнения сценариев оболочки не дает новых разрешений вызывающему. SPARK-38305. «Проверка существования файла перед распаковкой/сжатием», которая включена в 3.3.0, 3.1.4, 3.2.2, предотвращает выполнение команд оболочки, независимо от того, какая версия библиотек hadoop используется. Пользователям следует обновиться до Apache Hadoop 2.10.2, 3.2.4, 3.3.3 или выше (включая HADOOP-18136).
CVE-2021-37404Существует потенциальное переполнение буфера кучи в собственном коде Apache Hadoop libhdfs. Открытие пути к файлу, предоставленного пользователем без проверки, может привести к отказу в обслуживании или выполнению произвольного кода. Пользователям следует обновиться до Apache Hadoop 2.10.2, 3.2.3, 3.3.2 или выше.
CVE-2017-15718YARN NodeManager в Apache Hadoop 2.7.3 и 2.7.4 может раскрыть пароль для провайдера хранилища учетных данных, используемого NodeManager, для YARN Applications.
CVE-2016-3086YARN NodeManager в Apache Hadoop 2.6.x до 2.6.5 и 2.7.x до 2.7.3 может раскрывать пароль для поставщика хранилища учетных данных, используемого NodeManager, приложениям YARN.
CVE-2012-4449Apache Hadoop до 0.23.4, 1.x до 1.0.4 и 2.x до 2.0.2 генерирует пароли токенов, используя 20-битный секрет, когда включены функции безопасности Kerberos, что облегчает контекстно-зависимым злоумышленникам взлом секретных ключей посредством brute-force атаки.
CVE-2021-33036В Apache Hadoop 2.2.0 до 2.10.1, 3.0.0-alpha1 до 3.1.4, 3.2.0 до 3.2.2 и 3.3.0 до 3.3.1 пользователь, который может повысить привилегии до пользователя yarn, может запускать произвольные команды от имени пользователя root. Пользователям следует обновиться до Apache Hadoop 2.10.2, 3.2.3, 3.3.2 или более поздней версии.
CVE-2020-9492В Apache Hadoop 3.2.0 до 3.2.1, 3.0.0-alpha1 до 3.1.3 и 2.0.0-alpha до 2.10.0 клиент WebHDFS может отправлять заголовок авторизации SPNEGO на удаленный URL-адрес без надлежащей проверки.
CVE-2018-8029В Apache Hadoop версий с 3.0.0-alpha1 по 3.1.0, с 2.9.0 по 2.9.1 и с 2.2.0 по 2.8.4 пользователь, который может повысить свой статус до пользователя yarn, может выполнять произвольные команды от имени пользователя root.
CVE-2018-11764Проверка подлинности веб-конечной точки нарушена в Apache Hadoop 3.0.0-alpha4, 3.0.0-beta1 и 3.0.0. Аутентифицированные пользователи могут олицетворять любого пользователя, даже если прокси-пользователь не настроен.
CVE-2016-5393В Apache Hadoop 2.6.x до 2.6.5 и 2.7.x до 2.7.3 удаленный пользователь, который может аутентифицироваться с помощью HDFS NameNode, может выполнять произвольные команды с теми же привилегиями, что и служба HDFS.
CVE-2017-3166В Apache Hadoop версий 2.6.1 - 2.6.5, 2.7.0 - 2.7.3 и 3.0.0-alpha1, если файл в зоне шифрования с разрешениями доступа, которые делают его доступным для чтения всем, локализован через механизм локализации YARN, этот файл будет храниться в доступном для чтения всем месте и может свободно использоваться любым приложением, которое запрашивает локализацию этого файла.
CVE-2023-26031Относительное разрешение библиотек в бинарном файле linux container-executor в Apache Hadoop 3.3.1-3.3.4 на Linux позволяет локальному пользователю получить привилегии root. Если кластер YARN принимает работу от удаленных (аутентифицированных) пользователей, это может позволить удаленным пользователям получить привилегии root.
Hadoop 3.3.0 обновил " YARN Secure Containers https://hadoop.apache.org/docs/stable/hadoop-yarn/hadoop-yarn-site/SecureContainer.html ", чтобы добавить функцию для выполнения пользовательских приложений в изолированных контейнерах linux.
Нативный бинарный файл HADOOP_HOME/bin/container-executor используется для запуска этих контейнеров; он должен принадлежать root и иметь установленный бит suid, чтобы процессы YARN могли запускать контейнеры от имени конкретных пользователей, отправляющих задания.
Патч " YARN-10495 https://issues.apache.org/jira/browse/YARN-10495 . делает путь rpath для container-executor настраиваемым" изменил путь загрузки библиотек для загрузки .so файлов с "$ORIGIN/" на ""$ORIGIN/:../lib/native/". Это путь, по которому находится libcrypto.so. Таким образом, пользователю с ограниченными привилегиями возможно установить вредоносную библиотеку libcrypto в путь, к которому он имеет доступ на запись, вызвать команду container-executor и выполнить свою измененную библиотеку от имени root.
Если кластер YARN принимает работу от удаленных (аутентифицированных) пользователей, и задания этих пользователей выполняются на физическом хосте, а не в контейнере, то CVE позволяет удаленным пользователям получить привилегии root.
Исправление уязвимости заключается в отмене изменения, что сделано в YARN-11441 https://issues.apache.org/jira/browse/YARN-11441 , "Отмена YARN-10495". Этот патч присутствует в hadoop-3.3.5.
Чтобы определить, является ли версия container-executor уязвимой, используйте команду readelf. Если значение RUNPATH или RPATH содержит относительный путь "./lib/native/", то она под угрозой.
$ readelf -d container-executor|grep 'RUNPATH\|RPATH'
0x000000000000001d (RUNPATH) Библиотечный runpath: [$ORIGIN/:../lib/native/]
Если нет, то она безопасна:
$ readelf -d container-executor|grep 'RUNPATH\|RPATH'
0x000000000000001d (RUNPATH) Библиотечный runpath: [$ORIGIN/]
Для уязвимой версии container-executor, чтобы включить повышение привилегий, владелец должен быть root и бит suid должен быть установлен.
$ ls -laF /opt/hadoop/bin/container-executor
---Sr-s---. 1 root hadoop 802968 9 мая 20:21 /opt/hadoop/bin/container-executor
Безопасная установка не имеет бита suid; желательно, чтобы она также не принадлежала root.
$ ls -laF /opt/hadoop/bin/container-executor
-rwxr-xr-x. 1 yarn hadoop 802968 9 мая 20:21 /opt/hadoop/bin/container-executor
Эта конфигурация не поддерживает Yarn Secure Containers, но все остальные службы Hadoop, включая выполнение заданий YARN вне защищенных контейнеров продолжают работать.
CVE-2021-25642ZKConfigurationStore, который при необходимости используется CapacityScheduler Apache Hadoop YARN, десериализует данные, полученные из ZooKeeper, без проверки. Злоумышленник, имеющий доступ к ZooKeeper, может запускать произвольные команды от имени пользователя YARN, используя эту уязвимость. Пользователям следует обновиться до Apache Hadoop 2.10.2, 3.2.4, 3.3.4 или более поздней версии (содержащей YARN-11126), если используется ZKConfigurationStore.
CVE-2018-11768В Apache Hadoop 3.1.0 - 3.1.1, 3.0.0-alpha1 - 3.0.3, 2.9.0 - 2.9.1 и 2.0.0-alpha - 2.8.4 информация о пользователях/группах может быть повреждена при хранении в fsimage и чтении обратно из fsimage.
CVE-2018-11766В Apache Hadoop 2.7.4 - 2.7.6 исправление безопасности для CVE-2016-6811 является неполным. Пользователь, который может повысить привилегии до пользователя yarn, может запускать произвольные команды от имени пользователя root.
CVE-2017-7669В Apache Hadoop 2.8.0, 3.0.0-alpha1 и 3.0.0-alpha2 LinuxContainerExecutor запускает команды docker от имени root с недостаточной проверкой входных данных. Когда включена функция docker, аутентифицированные пользователи могут выполнять команды от имени root.
CVE-2016-6811В Apache Hadoop 2.x до версии 2.7.4 пользователь, который может повысить свои права до пользователя yarn, может выполнять произвольные команды от имени пользователя root.
CVE-2012-3376DataNodes в Apache Hadoop 2.0.0 alpha не проверяет BlockTokens клиентов, когда Kerberos включен, и DataNode дважды извлек один и тот же BlockPool из NodeName, что может позволить удаленным клиентам читать произвольные блоки, записывать в блоки, к которым у них есть только доступ на чтение, и оказывать другие неуказанные воздействия.
CVE-2025-27821Уязвимость за пределами записи в Apache Hadoop HDFS родной клиент.
Эта проблема затрагивает Apache Hadoop: от 3.2.0 до 3.4.2.
Пользователям рекомендуется обновиться до версии 3.4.2, которая устраняет проблему.
CVE-2017-3162Клиенты HDFS взаимодействуют с сервлетом на DataNode для просмотра пространства имен HDFS. NameNode предоставляется в качестве параметра запроса, который не проверяется в Apache Hadoop до версии 2.7.0.
CVE-2018-11765В Apache Hadoop версий 3.0.0-alpha2 - 3.0.0, 2.9.0 - 2.9.2, 2.8.0 - 2.8.5, любые пользователи могут получить доступ к некоторым сервлетам без аутентификации, когда включена аутентификация Kerberos и SPNEGO через HTTP не включен.
CVE-2017-15713Уязвимость в Apache Hadoop 0.23.x, 2.x до 2.7.5, 2.8.x до 2.8.3 и 3.0.0-alpha - 3.0.0-beta1 позволяет пользователю кластера раскрывать частные файлы, принадлежащие пользователю, запускающему процесс сервера истории заданий MapReduce. Злонамеренный пользователь может создать файл конфигурации, содержащий XML-директивы, которые ссылаются на конфиденциальные файлы на хосте сервера истории заданий MapReduce.
CVE-2012-1574Функциональность безопасности Kerberos/MapReduce в Apache Hadoop 0.20.203.0–0.20.205.0, 0.23.x до 0.23.2 и 1.0.x до 1.0.2, используемая в Cloudera CDH CDH3u0–CDH3u2, Cloudera hadoop-0.20-sbin до 0.20.2+923.197 и других продуктах, позволяет удаленным аутентифицированным пользователям выдавать себя за произвольные учетные записи пользователей кластера через неуказанные векторы.
CVE-2018-8009Apache Hadoop 3.1.0, с 3.0.0-alpha по 3.0.2, с 2.9.0 по 2.9.1, с 2.8.0 по 2.8.4, с 2.0.0-alpha по 2.7.6, с 0.23.0 по 0.23.11 можно использовать через уязвимость zip slip в местах, принимающих zip-файл.