本文為您匯總了部分漏洞說明。
Apache Hadoop與Hadoop Yarn ResourceManager未授權訪問漏洞
Hadoop是一款分布式基礎架構,默認配置下存在未授權漏洞,攻擊者可以在未授權的情況下遠程執行代碼。
修復建議如下:
配置安全組規則時,授權對象禁止填寫
0.0.0.0/0(IPv4)或者::/0(IPv6)。安全組規則的具體操作,請參見添加安全組規則。
禁止匿名訪問,在配置文件/etc/emr/hadoop-conf/core-site.xml中增加或修改以下配置項,然后重啟HDFS和YARN服務。
<property> <name>hadoop.http.authentication.simple.anonymous.allowed</name> <value>false</value> </property>在創建集群時,打開Kerberos身份認證開關。
Apache Hadoop YARN ZKConfigurationStore反序列化代碼執行漏洞(CVE-2021-25642)
Apache Hadoop YARN是默認的Haodop資源管理器,是一個通用的資源管理和調度系統。ZKConfigurationStore是YARN CapacityScheduler調度器用于從ZooKeeper獲取數據的模塊組件,ZKConfigurationStore可以在未經驗證的情況下,反序列化從ZooKeeper獲得的數據。如果啟用了ZKConfigurationStore,則攻擊者可利用該漏洞執行任意命令。
重要
阿里云E-MapReduce的YARN服務的yarn.scheduler.configuration.store.class默認為file,即未開啟ZKConfigurationStore。
修復建議:升級Hadoop至2.10.2、3.2.4、3.3.4或更高版本。
文檔內容是否對您有幫助?