Apache HBase RPC身份验证中间人安全措施绕过漏洞(CVE-2013-2192

发布日期:2013-08-23
更新日期:2013-08-28

受影响系统:
Apache Group HBase 2.x
Apache Group HBase 1.x
Apache Group HBase 0.23.x
不受影响系统:
Apache Group HBase <= 2.0.6-alpha
Apache Group HBase <= 1.2.1
Apache Group HBase <= 0.23.9
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 61984
CVE(CAN) ID: CVE-2013-2192

HBase是一个分布式、版本化、构建在Apache Hadoop和Apache ZooKeeper上的列数据库。

HBase 2.x、0.23.x、1.x版本在实现上存在安全绕过漏洞,从客户端到Region服务器的RPC流量可能会被具有任务运行权限的恶意用户及集群容器截获。Apache HBase RPC协议用来提供客户端和服务器之间的双向身份验证。但是恶意服务器或网络攻击者可以单方面禁用这些身份验证检查。这可导致绕过RPC流量保护机制。如果通过RPC传递身份验证凭证,也可导致权限提升。

<*来源:Kyle Leckie
        Aaron T.Myers
 
  链接:[email protected]%3E" target="_blank">http://mail-archives.apache.org/mod_mbox/hbase-user/201308.mbox/%3CCA+r7Yvmas05JGiZWO4Pixb0yEUOXad7OnD4gmKaqc5A5zEfPXg@mail.gmail.com%3E
        http://seclists.org/fulldisclosure/2013/Aug/250
        [email protected]%3E" target="_blank">http://mail-archives.apache.org/mod_mbox/hadoop-general/201308.mbox/%3CCA+4052kX8oqCeWFYeQ46LhrpYunE0vMu5Bmw-OidN9DPQMzzfw@mail.gmail.com%3E
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.apache.org/dyn/closer.cgi/hbase/

相关推荐