查看: 970|回复: 0

[经验分享] 【漏洞公告】CVE-2017

尚未签到

发表于 2017-12-25 16:49:32 | 显示全部楼层 |阅读模式

　　原文链接
　　Apache Hadoop是支持数据密集型分布式应用并以Apache 2.0许可协议发布的软件框架，Apache Hadoop 2.8.0版本、3.0.0-alpha1版本和3.0.0-alpha2版本中存在安全漏洞，该漏洞源于程序没有充分的执行输入验证。攻击者可利用该漏洞以root权限执行命令。
　　具体详情如下:
　　漏洞编号:
　　CVE-2017-7669
　　漏洞名称:
　　Apache Hadoop远程权限提升漏洞
　　官方评级:
　　高危
　　漏洞描述:
　　Apache Hadoop 2.8.0, 3.0.0-alpha1, 3.0.0-alpha2版本中，LinuxContainerExecutor没有有效验证输入，以root权限运行docker命令。启用docker功能后，经身份验证的用户可以root权限运行命令。
　　漏洞利用条件和方式:
　　直接远程利用
　　漏洞影响范围:
　　Apache Hadoop 2.8.0版本
　　3.0.0-alpha1版本
　　3.0.0-alpha2版本
　　漏洞检测:
　　无
　　漏洞修复建议(或缓解措施):

Apache Hadoop 2.8.0版本的用户升级到2.8.1
Apache Hadoop 3.0.0-alpha1和Hadoop 3.0.0-alpha2用户升级到Hadoop 3.0.0-alpha3版本或以上版本

　　情报来源:

https://mail-archives.apache.org/mod_mbox/hadoop-user/201706.mbox/<4A2FDA56-491B-4C2A-915F-C9D4A4BDB92A%40apache.org>

　　原文链接

运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表，该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有，请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意，请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息，一经发现立即删除。若您因此触犯法律，一切后果自负，我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集，我们仅提供一个展示、介绍、观摩学习的平台，我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责，亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏，不得用于商业或者其他用途，否则，一切后果均由您自己承担，我们对此不承担任何法律责任
7、如涉及侵犯版权等问题，请您及时通知我们，我们将立即采取措施予以解决
8、联系人Email：admin@iyunv.com 网址：www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址：https://www.yunweiku.com/thread-427940-1-1.html 上篇帖子： Apache is running a threaded MPM, but your PHP module is not compiled to be thre 下篇帖子： Can not find the tag library descriptor for "http://shiro.apache.org/tags"

使用道具举报