欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
忘了密码?

扫一扫,访问微社区

快捷导航
搜索
查看: 1636|回复: 0

[安全通知] 关于Apache Hadoop Yarn资源管理系统REST API未授权漏洞通知

[复制链接]

202

主题

0

好友

1万

积分

腾讯云论坛管理组

Rank: 20Rank: 20

云币
31230
威望
12933
发表于 2018-5-5 11:57:42 |显示全部楼层
尊敬的腾讯云客户:
       您好,近日,腾讯云安全中心监测发现,有攻击者利用Hadoop Yarn资源管理系统REST API未授权漏洞对服务器进行攻击,攻击者可以在未授权的情况下远程执行代码。漏洞评级为高危,该漏洞可导致业务机器被攻击者控
       为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

【漏洞详情】
  HadoopYarn资源管理器默认系统配置不当,导致攻击者可以进行未授权访问,并通过API接口执行命令

【风险等级】
  高危

【漏洞风险】
  导致业务机器被远程控制;

【影响版本】
  对外开启了默认端口8088和8090端口的Apache Hadoop YARN资源管理系统;

【安全版本】
  更新Hadoop到2.X以上版本并启用Kerberos认证功能

【检查方案】
  建议您及时开展自查,查询自身Apache Hadoop YARN资源管理系统有无默认端口对外,可以采取如下方式进行检查:
  在yarn-site.xml配置文件中查找如下检查项:
  1)检查“yarn.resourcemanager.webapp.address”,即ResourceManager对外Web UI地址。用户可通过该地址在浏览器中查看集群各类信息,默认为8088
  2)检查“yarn.resourcemanager.webapp.https.address”,即ResourceManager对外Web UI HTTPS地址。用户可通过该地址在浏览器中查看集群各类信息,默认为8090

【修复建议】
1)临时修复方案:配置iptables或安全组策略实施访问控制,禁止不可信IP进行访问;若无必要,端口不要监听在公网,改为监听本地地址或者内网地址。
2)彻底修复方案:及时更新Hadoop到2.X以上版本并启用Kerberos认证功能,禁止匿名访问;

【漏洞参考】


2017/5/5
您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2018-7-22 03:21 , Processed in 1.126478 second(s), 30 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部