发布日期：2013-08-23
更新日期：2013-08-27

受影响系统：

Apache Group Hadoop 2.x < 2.0.6-alpha
Apache Group Hadoop 1.x < 1.2.1
Apache Group Hadoop 0.23.x < 0.23.9

描述：

---

BUGTRAQ  ID: 61984
CVE(CAN) ID: CVE-2013-2192

Apache Hadoop是一款支持数据密集型分布式应用程序并以Apache 2.0许可协议发布的开源软件框架。

Hadoop 2.x、0.23.x、1.x版本在实现上存在安全绕过漏洞，从客户端到Region服务器的RPC流量可能会被具有任务运行权限的恶意用户及集群容器截获。Apache HBase RPC协议用来提供客户端和服务器之间的双向身份验证。但是恶意服务器或网络攻击者可以单方面禁用这些身份验证检查。这可导致绕过RPC流量保护机制。如果通过RPC传递身份验证凭证，也可导致权限提升。

<*来源：Kyle Leckie
        Aaron T.Myers
  
  链接：r7Yvmas05JGiZWO4Pixb0yEUOXad7OnD4gmKaqc5A5zEfPXg@mail.gmail.com%3E" target="_blank">http://mail-archives.apache.org/mod_mbox/hbase-user/201308.mbox/%3CCA+r7Yvmas05JGiZWO4Pixb0yEUOXad7OnD4gmKaqc5A5zEfPXg@mail.gmail.com%3E
        http://seclists.org/fulldisclosure/2013/Aug/250
        4052kX8oqCeWFYeQ46LhrpYunE0vMu5Bmw-OidN9DPQMzzfw@mail.gmail.com%3E" target="_blank">http://mail-archives.apache.org/mod_mbox/hadoop-general/201308.mbox/%3CCA+4052kX8oqCeWFYeQ46LhrpYunE0vMu5Bmw-OidN9DPQMzzfw@mail.gmail.com%3E
*>

建议：

---

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.apache.org/dyn/closer.cgi/hbase/

浏览次数：3116
严重程度：0（网友投票）