- Статус
- Offline
- Регистрация
- 23 Фев 2017
- Сообщения
- 332
- Реакции
- 48
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
Проблема существует во всех версиях Hadoop YARN, кроме 3.1.1, 3.0.3, 2.8.5 и 2.7.7.
Уязвимость Zip Slip, о которой впервыестало известнов июне нынешнего года, нашла новую «жертву» - демон Apache Hadoop YARN NodeManager. Проблема существует во всех версиях Hadoop YARN, кроме 3.1.1, 3.0.3, 2.8.5 и 2.7.7, а также в JBoss Fuse 6.0 и 7.0.
Каксообщаетспециалист компании Apache Акира Аджисака (Akira Ajisaka), уязвимость затрагивает реализации NodeManager, использующие общедоступные архивы в распределенном кэше. По словам Аджисаки, уязвимость «позволяет пользователям кластера публиковать общедоступные архивы, способные затрагивать другие файлы, принадлежащие пользователю, запускающему демон YARN NodeManager. В случае, если затронутые файлы принадлежат другому, уже локализованному общедоступному архиву на узле, возможно внедрение кода в задания других пользователей кластера, использующих общедоступный архив».
Обнаруженная в июне уязвимость Zip Slip затрагивает любой код, распаковывающий сжатые архивы. Благодаря недостаточной проверке имен файлов злоумышленник может указывать место для разархивированного файла в существующей папке или файле на атакуемой системе. Оттуда код злоумышленника может переписать данные в любом месте на системе и позволить ему внедрять произвольные команды в скрипты или изменять исполняемые файлы.
Текущая неделя оказалась весьма напряженной для Hadoop YARN. Как ранеесообщалSecurityLab, исследователи компании Netscout обнаружили образец вредоносного ПО Mirai для серверов Hadoop YARN.
