一、 漏洞描述
Hadoop Yarn RPC未授权访问漏洞存在于Hadoop Yarn中负责资源管理和任务调度的ResourceManager,成因是该组件为用户提供的RPC服务默认情况下无需认证即可访问,因此把RPC服务暴露在公网上是非常危险的。
RPC服务利用这一问题会影响到部分有安全意识的用户。一部分用户基于过去几年中基于多种利用Hadoop的历史蠕虫已经意识到RESTful API的风险,通过配置开启了基于HTTP的认证,或通过防火墙/安全组封禁了RESTful API对应的8088端口,但由于他们没有意识到Hadoop同时提供RPC服务,并且访问控制机制开启方式跟REST API不一样,导致用户Hadoop集群中RPC服务所在的8032端口仍然可以未授权访问。
经测试可知,对于8032暴露在互联网且未开启kerberos的Hadoop Yarn ResourceManager,编写应用程序调用yarnClient.getApplications()即可查看所有应用信息。
二、 漏洞详情
- : HADOOP YARN RPC未授权访问漏洞
CVE: 暂无
组件: Apache Hadoop
漏洞类型: 代码问题
影响: 服务器接管
简述: 未经过身份验证的攻击者可利用 Hadoop Yarn RPC 服务未经授权便可访问的漏洞控制Hadoop Yarn 服务器并执行任意命令。
三、 影响版本
组件 | 影响产品或系统版本 | 安全版本 |
Apache Hadoop | Apache Hadoop 全版本 | 暂无 |
四、 安全版本
见三
五、 安全建议
通用修补建议:
厂商暂未修复补丁,但已给出缓解方案
缓解方案:
1. Apache Hadoop 官方建议用户升级并启用 Kerberos 的认证功能,阻止未经授权的访问。
2. 设置 Hadoop RPC 服务所在端口仅对可信地址开放。