2021年11月15日,8087金沙娱场城应急响应中心(8087金沙娱场城 CERT)监测发现Hadoop Yarn RPC存在未授权访问漏洞(暂无CVE漏洞编号)。此漏洞存在于Hadoop的核心组件Hadoop Yarn中,因Hadoop Yarn默认对外开放RPC服务,导致远程攻击者可利用此未授权漏洞并通过RPC服务执行任意命令,从而达到控制目标服务器的目的。鉴于此漏洞为高危状态,危害较大,且细节已公开、被在野利用,8087金沙娱场城CERT建议所有使用Apache Hadoop的用户及时进行自查并采取安全措施。
注意:RESTful API对应的8088端口和相关认证机制与Hadoop Yarn RPC不一致,对RESTful API开启了认证的情况下,此漏洞仍可被利用。
1. 建议启用Kerberos认证功能,以阻止未经授权的访问。
2. 如非必要,建议禁止外部地址访问Hadoop RPC服务相关端口;或配置为仅对可信地址开放。
https://hadoop.apache.org/docs/current/hadoop-yarn/hadoop-yarn-site/YARN.html
https://hadoop.apache.org/docs/current/hadoop-project-dist/hadoop-common/SecureMode.html#Configuration