|
|
|
松江一中.net > 新闻中心 > 即时通告 > 网管中心 >> 正文 |
【关于Apache Ranger远程代码执行等漏洞的风险提示】
|
更新时间:2023/5/5 作者:信息中心 李斌 阅读:1307次 |
|
【关于Apache Ranger远程代码执行等漏洞的风险提示】 一、背景介绍 近日,市委网信办技术支撑单位监测到Apache Ranger存在远程代码执行等漏洞,修复了两个安全漏洞。 1.1 漏洞描述 Apache Ranger 是一个用于 Hadoop 平台上的安全框架,它提供了一个集中的平台来定义、管理和监控跨 Hadoop 组件的安全策略。Apache Ranger 支持对以下组件进行细粒度的访问控制:HDFS、Hive、HBase、Storm、Knox、Solr、Kafka、NiFi 和 YARN。Rancher安全特性绕过漏洞:Rancher准入Webhook的更新逻辑失败可能会导致Webhook配置错误,该组件在资源被允许进入Kubernetes集群之前强制执行验证规则和安全检查。 1.1.1 Apache Ranger 存在远程代码执行漏洞 拥有管理员权限的用户可以通过创建具有表达式的策略,从而利用 SSTI 进行代码执行。 1.1.2 Apache Ranger Hive Plugin 权限管理不当 Apache Ranger Hive Plugin 存在权限管理不当。导致任何拥有 SELECT 权限的用户可以改变 Hive 中表的所有权限。 1.2漏洞编号 CVE-2022-45048 CVE-2021-40331 1.3漏洞等级 高危 二、修复建议 2.1受影响版本 Apache Ranger 2.3.0 2.0.0 <= Apache Ranger Hive Plugin <= 2.3.0 2.2修复建议 升级到 2.4.0 或者更高版本。 官方下载地址:https://github.com/apache/ranger/releases/tag/release-ranger-2.4.0
|
|
|
|
|
|
|