Apache HBase RPC身份验证中间人安全措施绕过漏洞(CVE-2013-2193)

漏洞版本:

Apache Group HBase 0.94.x
Apache Group HBase 0.92.x

漏洞描述:

BUGTRAQ  ID: 61981
CVE(CAN) ID: CVE-2013-2193

HBase是一个分布式、版本化、构建在Apache Hadoop和Apache ZooKeeper上的列数据库

HBase 0.92.x、0.94.x版本在实现上存在安全绕过漏洞，从客户端到Region服务器的RPC流量可能会被具有任务运行权限的恶意用户及集群容器截获。Apache HBase RPC协议用来提供客户端和服务器之间的双向身份验证。但是恶意服务器或网络攻击者可以单方面禁用这些身份验证检查。这可导致绕过RPC流量保护机制。如果通过RPC传递身份验证凭证，也可导致权限提升

<* 参考

http://seclists.org/fulldisclosure/2013/Aug/250

安全建议:

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.apache.org/dyn/closer.cgi/hbase/

posted @ 2013-08-28 21:40 夏虫xm 阅读(516) 评论(0) 编辑收藏举报

刷新页面返回顶部

漏洞信息库

Apache HBase RPC身份验证中间人安全措施绕过漏洞(CVE-2013-2193)

漏洞版本:

漏洞描述:

安全建议:

公告