全部产品
云市场

【漏洞公告】Hadoop YARN 资源管理系统 REST API未授权访问

更新时间:2018-05-07 15:32:42

Hadoop是一款由Apache基金会推出的分布式系统框架,它通过著名的 MapReduce 算法进行分布式处理,Yarn是Hadoop集群的资源管理系统。

Hadoop YARN 资源管理系统配置不当导致可以未经授权进行访问,从而被攻击者恶意利用。攻击者无需认证即可通过REST API部署任务来执行任意指令,最终完全控制服务器。

漏洞详情见下文


漏洞名称:

Hadoop YARN 资源管理系统 REST API 未授权访问

受影响范围:

Apache Hadoop YARN资源管理系统

对外开启以下作用的端口:

  1. yarn.resourcemanager.webapp.address,默认端口8088
  2. yarn.resourcemanager.webapp.https.address,默认端口8090

风险评级:

高危

漏洞利用条件和方式:

远程利用

解决建议:

1.缓解止血建议:

网络访问控制:使用”ECS/VPC安全组”或”主机防火墙” 对 “受影响服务端口” 访问源IP进行控制

如果本身Hadoop环境仅对内网提供服务,请不要将Hadoop服务端口发布到互联网

2.彻底解决建议:

若使用自建的Hadoop,根据实际情况及时更新补丁,Hadoop在2.X以上版本提供了安全认证功能,加入了Kerberos认证机制,建议启用Kerberos认证功能

或者您可以选择使用云上的MaxCompute(8年以上“零”安全漏洞)、或云上的E-MAPREDUCE服务

安全建议:

态势感知检测,安全管家处理

安全产品建议:目前态势感知产品已支持检测针对此漏洞攻击,建议用户可以购买态势感知,开启检测

安全服务建议:通过安全管家服务,在阿里云安全专家的指导下进行安全加固及优化工作,避免系统受到漏洞影响