安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
Apache Hadoop YARN远程代码执行漏洞
2022-08-30 15:12:02 【


1. 通告信息





近日,安识科技A-Team团队监测到Apache官方发布安全公告,修复了Apache Hadoop YARN中的一个远程代码执行漏洞(CVE-2021-25642)。


对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。





2. 漏洞概述





Apache Hadoop YARN (Yet Another Resource Negotiator,另一种资源协调者)是一种新的 Hadoop 资源管理器,它是一个通用资源管理系统和调度平台。


ZKConfigurationStore是Apache Hadoop YARN的CapacityScheduler可选使用的,由于ZKConfigurationStore可在未经验证的情况下反序列化从ZooKeeper获得的数据,因此能够访问ZooKeeper的威胁者可以利用此漏洞以YARN用户身份运行任意命令。





3. 漏洞危害





漏洞名称:Apache Hadoop YARN远程代码执行漏洞


CVE编号:CVE-2021-25642


ZKConfigurationStore是Apache Hadoop YARN的CapacityScheduler可选使用的,由于ZKConfigurationStore可在未经验证的情况下反序列化从ZooKeeper获得的数据,因此能够访问ZooKeeper的威胁者可以利用此漏洞以YARN用户身份运行任意命令。





4. 影响版本





目前受影响的 Apache Hadoop产品版本:


2.9.0 <= Apache Hadoop <= 2.10.1


3.0.0-alpha <= Apache Hadoop <= 3.2.3


3.3.0 <= Apache Hadoop <= 3.3.3




5. 解决方案





目前此漏洞已经修复,受影响用户可升级到Apache Hadoop 2.10.2、3.2.4、3.3.4 或更高版本


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇智利政府Windows、Linux服务器遭.. 下一篇谷歌确认新的攻击可以读取所有Gma..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800