发布日期:2013-08-23
更新日期:2013-08-28受影响系统:
Apache Group HBase 2.x
Apache Group HBase 1.x
Apache Group HBase 0.23.x
不受影响系统:
Apache Group HBase <= 2.0.6-alpha
Apache Group HBase <= 1.2.1
Apache Group HBase <= 0.23.9
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 61984
CVE(CAN) ID: CVE-2013-2192HBase是一个分布式、版本化、构建在Apache Hadoop和Apache ZooKeeper上的列数据库。HBase 2.x、0.23.x、1.x版本在实现上存在安全绕过漏洞,从客户端到Region服务器的RPC流量可能会被具有任务运行权限的恶意用户及集群容器截获。Apache HBase RPC协议用来提供客户端和服务器之间的双向身份验证。但是恶意服务器或网络攻击者可以单方面禁用这些身份验证检查。这可导致绕过RPC流量保护机制。如果通过RPC传递身份验证凭证,也可导致权限提升。<*来源:Kyle Leckie
Aaron T.Myers
链接:r7Yvmas05JGiZWO4Pixb0yEUOXad7OnD4gmKaqc5A5zEfPXg@mail.gmail.com%3E" target="_blank">http://mail-archives.apache.org/mod_mbox/hbase-user/201308.mbox/%3CCA+r7Yvmas05JGiZWO4Pixb0yEUOXad7OnD4gmKaqc5A5zEfPXg@mail.gmail.com%3E
http://seclists.org/fulldisclosure/2013/Aug/250
4052kX8oqCeWFYeQ46LhrpYunE0vMu5Bmw-OidN9DPQMzzfw@mail.gmail.com%3E" target="_blank">http://mail-archives.apache.org/mod_mbox/hadoop-general/201308.mbox/%3CCA+4052kX8oqCeWFYeQ46LhrpYunE0vMu5Bmw-OidN9DPQMzzfw@mail.gmail.com%3E
*>建议:
--------------------------------------------------------------------------------
厂商补丁:Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.apache.org/dyn/closer.cgi/hbase/Restlet对象反序列化漏洞RoundCube Webmail “Edit Email”脚本插入漏洞相关资讯 HBase安全漏洞
- Apache HBase RPC身份验证中间人安 (08/28/2013 06:16:23)
本文评论 查看全部评论 (0)
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
- 本站管理人员有权保留或删除其管辖留言中的任意内容
|
易网时代-编程资源站