Hadoop Yarn RPC未授權(quán)訪問漏洞

 漏洞資訊     |      2021-11-16

一、   漏洞描述

Hadoop Yarn RPC未授權(quán)訪問漏洞存在于Hadoop Yarn中負(fù)責(zé)資源管理和任務(wù)調(diào)度的ResourceManager,成因是該組件為用戶提供的RPC服務(wù)默認(rèn)情況下無需認(rèn)證即可訪問,因此把RPC服務(wù)暴露在公網(wǎng)上是非常危險(xiǎn)的。

 RPC服務(wù)利用這一問題會(huì)影響到部分有安全意識(shí)的用戶。一部分用戶基于過去幾年中基于多種利用Hadoop的歷史蠕蟲已經(jīng)意識(shí)到RESTful API的風(fēng)險(xiǎn),通過配置開啟了基于HTTP的認(rèn)證,或通過防火墻/安全組封禁了RESTful API對(duì)應(yīng)的8088端口,但由于他們沒有意識(shí)到Hadoop同時(shí)提供RPC服務(wù),并且訪問控制機(jī)制開啟方式跟REST API不一樣,導(dǎo)致用戶Hadoop集群中RPC服務(wù)所在的8032端口仍然可以未授權(quán)訪問。

 經(jīng)測(cè)試可知,對(duì)于8032暴露在互聯(lián)網(wǎng)且未開啟kerberos的Hadoop Yarn ResourceManager,編寫應(yīng)用程序調(diào)用yarnClient.getApplications()即可查看所有應(yīng)用信息。

二、   漏洞詳情

-  : HADOOP YARN RPC未授權(quán)訪問漏洞

CVE: 暫無

組件:  Apache Hadoop

漏洞類型: 代碼問題

影響: 服務(wù)器接管

簡(jiǎn)述: 未經(jīng)過身份驗(yàn)證的攻擊者可利用 Hadoop Yarn RPC 服務(wù)未經(jīng)授權(quán)便可訪問的漏洞控制Hadoop Yarn 服務(wù)器并執(zhí)行任意命令。

三、   影響版本

組件

影響產(chǎn)品或系統(tǒng)版本

安全版本

Apache Hadoop

Apache Hadoop 全版本

暫無

四、   安全版本

見三

五、  安全建議

通用修補(bǔ)建議:

廠商暫未修復(fù)補(bǔ)丁,但已給出緩解方案

緩解方案:

1. Apache Hadoop 官方建議用戶升級(jí)并啟用 Kerberos 的認(rèn)證功能,阻止未經(jīng)授權(quán)的訪問。

2. 設(shè)置 Hadoop RPC 服務(wù)所在端口僅對(duì)可信地址開放。