Apache HBase RPC身份验证中间人安全措施绕过漏洞

发布日期:2013-08-23
更新日期:2013-08-28

受影响系统:
Apache Group HBase 2.x
Apache Group HBase 1.x
Apache Group HBase 0.23.x
不受影响系统:
Apache Group HBase <= 2.0.6-alpha
Apache Group HBase <= 1.2.1
Apache Group HBase <= 0.23.9
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 61984
CVE(CAN) ID: CVE-2013-2192

HBase是一个分布式、版本化、构建在Apache Hadoop和Apache ZooKeeper上的列数据库。

HBase 2.x、0.23.x、1.x版本在实现上存在安全绕过漏洞,从客户端到Region服务器的RPC流量可能会被具有任务运行权限的恶意用户及集群容器截获。Apache HBase RPC协议用来提供客户端和服务器之间的双向身份验证。但是恶意服务器或网络攻击者可以单方面禁用这些身份验证检查。这可导致绕过RPC流量保护机制。如果通过RPC传递身份验证凭证,也可导致权限提升。

<*来源:Kyle Leckie
        Aaron T.Myers
 
  链接:r7Yvmas05JGiZWO4Pixb0yEUOXad7OnD4gmKaqc5A5zEfPXg@mail.gmail.com%3E" target="_blank">%3CCA+r7Yvmas05JGiZWO4Pixb0yEUOXad7OnD4gmKaqc5A5zEfPXg@mail.gmail.com%3E
       
        4052kX8oqCeWFYeQ46LhrpYunE0vMu5Bmw-OidN9DPQMzzfw@mail.gmail.com%3E" target="_blank">%3CCA+4052kX8oqCeWFYeQ46LhrpYunE0vMu5Bmw-OidN9DPQMzzfw@mail.gmail.com%3E
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/de0ae96a2aa3ea76b22bc2a3c8ff363c.html