服务公告
Hadoop Yarn RPC未授权访问漏洞预警
2021-11-15
一、概要
近日,华为云关注到业界披露Hadoop Yarn RPC存在未授权访问漏洞,并且已发现在野攻击利用,Hadoop Yarn默认对外开放RPC服务,且RPC服务默认可未授权访问,可被攻击者利用,严重可导致远程代码执行。此外需注意,由于Hadoop Yarn RPC服务访问控制机理开启方式跟REST API不一样,因此即使在 REST API已有授权认证的情况下,RPC服务所在的端口仍然可以被未授权访问。
Apache Hadoop YARN是Hadoop集群一种新的通用资源管理系统和调度平台,华为云提醒使用Apache Hadoop YARN的用户尽快安排自检并做好安全加固。
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞影响范围
影响版本:
Apache Hadoop 所有版本
四、漏洞处置
1、根据Apache Hadoop官方提供的建议,开启Kerberos认证,相关配置设置请参考如下链接:
2、设置 Hadoop RPC服务端口仅对可信地址开放。
注:修复漏洞前请将资料备份,并进行充分测试。
