HBase 2.x、1.x及0.23.x版本中存在安全绕过漏洞,恶意用户可能截获客户端到Region服务器的RPC流量并禁用身份验证检查,导致权限提升。已发布补丁。
发布日期:2013-08-23
更新日期:2013-08-28
受影响系统:
Apache Group HBase 2.x
Apache Group HBase 1.x
Apache Group HBase 0.23.x
不受影响系统:
Apache Group HBase <= 2.0.6-alpha
Apache Group HBase <= 1.2.1
Apache Group HBase <= 0.23.9
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 61984
CVE(CAN) ID: CVE-2013-2192
HBase是一个分布式、版本化、构建在Apache Hadoop和Apache ZooKeeper上的列数据库。
HBase 2.x、0.23.x、1.x版本在实现上存在安全绕过漏洞,从客户端到Region服务器的RPC流量可能会被具有任务运行权限的恶意用户及集群容器截获。Apache HBase RPC协议用来提供客户端和服务器之间的双向身份验证。但是恶意服务器或网络攻击者可以单方面禁用这些身份验证检查。这可导致绕过RPC流量保护机制。如果通过RPC传递身份验证凭证,也可导致权限提升。
Aaron T.Myers
链接:r7Yvmas05JGiZWO4Pixb0yEUOXad7OnD4gmKaqc5A5zEfPXg@mail.gmail.com%3E" target="_blank">http://mail-archives.apache.org/mod_mbox/hbase-user/201308.mbox/%3CCA+r7Yvmas05JGiZWO4Pixb0yEUOXad7OnD4gmKaqc5A5zEfPXg@mail.gmail.com%3E
http://seclists.org/fulldisclosure/2013/Aug/250
4052kX8oqCeWFYeQ46LhrpYunE0vMu5Bmw-OidN9DPQMzzfw@mail.gmail.com%3E" target="_blank">http://mail-archives.apache.org/mod_mbox/hadoop-general/201308.mbox/%3CCA+4052kX8oqCeWFYeQ46LhrpYunE0vMu5Bmw-OidN9DPQMzzfw@mail.gmail.com%3E
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
