Hadoop Yarn RPC未授权访问漏洞

 漏洞资讯     |      2021-11-16

一、   漏洞描述

Hadoop Yarn RPC未授权访问漏洞存在于Hadoop Yarn中负责资源管理和任务调度的ResourceManager,成因是该组件为用户提供的RPC服务默认情况下无需认证即可访问,因此把RPC服务暴露在公网上是非常危险的。

 RPC服务利用这一问题会影响到部分有安全意识的用户。一部分用户基于过去几年中基于多种利用Hadoop的历史蠕虫已经意识到RESTful API的风险,通过配置开启了基于HTTP的认证,或通过防火墙/安全组封禁了RESTful API对应的8088端口,但由于他们没有意识到Hadoop同时提供RPC服务,并且访问控制机制开启方式跟REST API不一样,导致用户Hadoop集群中RPC服务所在的8032端口仍然可以未授权访问。

 经测试可知,对于8032暴露在互联网且未开启kerberos的Hadoop Yarn ResourceManager,编写应用程序调用yarnClient.getApplications()即可查看所有应用信息。

二、   漏洞详情

-  : HADOOP YARN RPC未授权访问漏洞

CVE: 暂无

组件:  Apache Hadoop

漏洞类型: 代码问题

影响: 服务器接管

简述: 未经过身份验证的攻击者可利用 Hadoop Yarn RPC 服务未经授权便可访问的漏洞控制Hadoop Yarn 服务器并执行任意命令。

三、   影响版本

组件

影响产品或系统版本

安全版本

Apache Hadoop

Apache Hadoop 全版本

暂无

四、   安全版本

见三

五、  安全建议

通用修补建议:

厂商暂未修复补丁,但已给出缓解方案

缓解方案:

1. Apache Hadoop 官方建议用户升级并启用 Kerberos 的认证功能,阻止未经授权的访问。

2. 设置 Hadoop RPC 服务所在端口仅对可信地址开放。