本文为您汇总了部分漏洞说明。
Apache Hadoop与Hadoop Yarn ResourceManager未授权访问漏洞
Hadoop是一款分布式基础架构,默认配置下存在未授权漏洞,攻击者可以在未授权的情况下远程执行代码。
修复建议如下:
配置安全组规则时,授权对象禁止填写
0.0.0.0/0(IPv4)或者::/0(IPv6)。安全组规则的具体操作,请参见添加安全组规则。
禁止匿名访问,在配置文件/etc/emr/hadoop-conf/core-site.xml中增加或修改以下配置项,然后重启HDFS和YARN服务。
<property> <name>hadoop.http.authentication.simple.anonymous.allowed</name> <value>false</value> </property>在创建集群时,打开Kerberos身份认证开关。
Apache Hadoop YARN ZKConfigurationStore反序列化代码执行漏洞(CVE-2021-25642)
Apache Hadoop YARN是默认的Haodop资源管理器,是一个通用的资源管理和调度系统。ZKConfigurationStore是YARN CapacityScheduler调度器用于从ZooKeeper获取数据的模块组件,ZKConfigurationStore可以在未经验证的情况下,反序列化从ZooKeeper获得的数据。如果启用了ZKConfigurationStore,则攻击者可利用该漏洞执行任意命令。
重要
阿里云E-MapReduce的YARN服务的yarn.scheduler.configuration.store.class默认为file,即未开启ZKConfigurationStore。
修复建议:升级Hadoop至2.10.2、3.2.4、3.3.4或更高版本。
文档内容是否对您有帮助?