Apache HBase RPC身份验证中间人安全措施绕过漏洞（CVE-2013-2193）

发布日期：2013-08-23
更新日期：2013-08-28受影响系统：
Apache Group HBase 0.94.x
Apache Group HBase 0.92.x
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 61981
CVE（CAN） ID: CVE-2013-2193HBase是一个分布式、版本化、构建在Apache Hadoop和Apache ZooKeeper上的列数据库。HBase 0.92.x、0.94.x版本在实现上存在安全绕过漏洞，从客户端到Region服务器的RPC流量可能会被具有任务运行权限的恶意用户及集群容器截获。Apache HBase RPC协议用来提供客户端和服务器之间的双向身份验证。但是恶意服务器或网络攻击者可以单方面禁用这些身份验证检查。这可导致绕过RPC流量保护机制。如果通过RPC传递身份验证凭证，也可导致权限提升。<*来源：Kyle Leckie
Aaron T.Myers

链接：r7Yvmas05JGiZWO4Pixb0yEUOXad7OnD4gmKaqc5A5zEfPXg@mail.gmail.com%3E" target="_blank">http://mail-archives.apache.org/mod_mbox/hbase-user/201308.mbox/%3CCA+r7Yvmas05JGiZWO4Pixb0yEUOXad7OnD4gmKaqc5A5zEfPXg@mail.gmail.com%3E
http://seclists.org/fulldisclosure/2013/Aug/250
*>建议：
--------------------------------------------------------------------------------
厂商补丁：Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：http://www.apache.org/dyn/closer.cgi/hbase/SearchBlox远程命令注入漏洞（CVE-2013-3590）Real Networks RealPlayer栈缓冲区溢出漏洞（CVE-2013-4973）相关资讯 Hbase HBase安全漏洞

HBase 参考文档翻译之 Getting （08月15日）
HBase应用开发回顾与总结系列（01月10日）
Apache HBase 2015年发展回顾与未（01月04日）

为啥HBase需要搭建SQL引擎层（02月19日）
HBase表数据分页处理（01月10日）
Hbase VS Oracle （11/21/2015 20:22:40）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任