|
|
|
|
 松江一中.net > 新闻中心 > 即时通告 > 网管中心 >> 正文 |
| 【关于Apache Ranger远程代码执行等漏洞的风险提示】
|
|
更新时间:2023/5/5 作者:信息中心 李斌 阅读:1307次 |
|
【关于Apache Ranger远程代码执行等漏洞的风险提示】
一、背景介绍
近日,市委网信办技术支撑单位监测到Apache Ranger存在远程代码执行等漏洞,修复了两个安全漏洞。
1.1 漏洞描述
Apache Ranger 是一个用于 Hadoop 平台上的安全框架,它提供了一个集中的平台来定义、管理和监控跨 Hadoop 组件的安全策略。Apache Ranger 支持对以下组件进行细粒度的访问控制:HDFS、Hive、HBase、Storm、Knox、Solr、Kafka、NiFi 和 YARN。Rancher安全特性绕过漏洞:Rancher准入Webhook的更新逻辑失败可能会导致Webhook配置错误,该组件在资源被允许进入Kubernetes集群之前强制执行验证规则和安全检查。
1.1.1 Apache Ranger 存在远程代码执行漏洞
拥有管理员权限的用户可以通过创建具有表达式的策略,从而利用 SSTI 进行代码执行。
1.1.2 Apache Ranger Hive Plugin 权限管理不当
Apache Ranger Hive Plugin 存在权限管理不当。导致任何拥有 SELECT 权限的用户可以改变 Hive 中表的所有权限。
1.2漏洞编号
CVE-2022-45048
CVE-2021-40331
1.3漏洞等级
高危
二、修复建议
2.1受影响版本
Apache Ranger 2.3.0
2.0.0 <= Apache Ranger Hive Plugin <= 2.3.0
2.2修复建议
升级到 2.4.0 或者更高版本。
官方下载地址:https://github.com/apache/ranger/releases/tag/release-ranger-2.4.0
|
|
|
|
|
|
|
校园霸凌举报信箱
网上选课
问卷
减小字体
增大字体
沪公网安备 31011702003786号
