首页 > 安全研究 > 安全通报 > 安全通告

Apache Hadoop 权限提升漏洞安全通告

发布时间 2019-05-31

漏洞编号和级别


CVE编号:CVE-2018-8029,危险级别:高级,CVSS分值:8.8


受影响的版本


Apache Hadoop 3.0.0-alpha1 到 3.1.0版本
Apache Hadoop 2.9.0 到 2.9.1版本

Apache Hadoop 2.2.0 到 2.8.4版本


漏洞概述


Apache Hadoop是美国阿帕奇(Apache)软件基金会的一套开源的分布式系统基础架构,它能够对大量数据进行分布式处理,并具有高可靠性、高扩展性、高容错性等特点。


Apache Hadoop多个版本存在本地提权漏洞(CVE-2018-8029),利用该漏洞,攻击者可将任意能提升到 yarn 权限的用户提升到 root 权限,以执行恶意代码。


漏洞验证


暂无POC/EXP。


修复建议


目前厂商已发布以下新版本修复漏洞,下载地址:

https://hadoop.apache.org/releases.html。
Apache Hadoop 2.8.5或更高版本
Apache Hadoop 2.9.2或更高版本

Apache Hadoop 3.1.1或更高版本


参考链接


https://hadoop.apache.org/cve_list.html

上一篇 下一篇