文档

其他漏洞汇总说明

更新时间:

本文为您汇总了部分漏洞说明。

Apache Hadoop与Hadoop Yarn ResourceManager未授权访问漏洞

Hadoop是一款分布式基础架构,默认配置下存在未授权漏洞,攻击者可以在未授权的情况下远程执行代码。

修复建议如下:

  • 配置安全组规则时,授权对象禁止填写0.0.0.0/0(IPv4)或者::/0(IPv6)。

    安全组规则的具体操作,请参见添加安全组规则

  • 禁止匿名访问,在配置文件/etc/emr/hadoop-conf/core-site.xml中增加或修改以下配置项,然后重启HDFS和YARN服务。

    <property>
      <name>hadoop.http.authentication.simple.anonymous.allowed</name>
      <value>false</value>
    </property>
  • 在创建集群时,打开Kerberos身份认证开关。

Apache Hadoop YARN ZKConfigurationStore反序列化代码执行漏洞(CVE-2021-25642)

Apache Hadoop YARN是默认的Haodop资源管理器,是一个通用的资源管理和调度系统。ZKConfigurationStore是YARN CapacityScheduler调度器用于从ZooKeeper获取数据的模块组件,ZKConfigurationStore可以在未经验证的情况下,反序列化从ZooKeeper获得的数据。如果启用了ZKConfigurationStore,则攻击者可利用该漏洞执行任意命令。

重要

阿里云E-MapReduce的YARN服务的yarn.scheduler.configuration.store.class默认为file,即未开启ZKConfigurationStore。

修复建议:升级Hadoop至2.10.2、3.2.4、3.3.4或更高版本。

  • 本页导读 (1)