Apache HBase 出现信息泄漏漏洞

安全 应用安全
Apache HBase 因为远程拒绝服务、发现信息泄露漏洞和信息完整性出现问题。受影响的版本有有很多,如下文所示

Apache HBase 因为远程拒绝服务、发现信息泄露漏洞和信息完整性出现问题。

受影响的版本有:

HBase 0.98.0 - 0.98.12

HBase 1.0.0 - 1.0.1

HBase 1.1.0

HBase 0.96(受波及了)

逻辑错误导致 HBase 最安全的配置部署到 ZooKeeper 上处理其协调状态 不安全的 ACLs。任何人都可以通过远程访问登录 ZooKeeper,与此相关的有 HBase 客户端将降低甚至是完全不可用。任何连接到 HBase 集群的授权用户都可以修改参数和看到他们本没有权限看到的 HBase 数据信息。

我们建议 HBase 用户升级更新他们相对应的修补程序版本 (e.g. 0.98.12.1, 1.0.1.1, 1.1.0.1) 以确保能够写入正确的 ACLs 信息。任何这些修补程序都可以升级且为零停机时间升级 [1] 。因为这个逻辑 bug 能掩盖一些配置错误,我们鼓励用户在开始升级过程 [2] 之前验证部署。

一旦用户升级到合适的版本,那么用户必须在 ZooKeeper 客户端上执行一系列的 ZooKeeper 指令。更多关于使用ZooKeeper 客户端安全设置的信息请参考 ZooKeeper 文件[3]。

setAcl /hbase world:anyone:r,sasl:hbase:cdrwa

setAcl /hbase/backup-masters sasl:hbase:cdrwa

setAcl /hbase/draining sasl:hbase:cdrwa

setAcl /hbase/flush-table-proc sasl:hbase:cdrwa

setAcl /hbase/hbaseid world:anyone:r,sasl:hbase:cdrwa

setAcl /hbase/master world:anyone:r,sasl:hbase:cdrwa

setAcl /hbase/meta-region-server world:anyone:r,sasl:hbase:cdrwa

setAcl /hbase/namespace sasl:hbase:cdrwa

setAcl /hbase/online-snapshot sasl:hbase:cdrwa

setAcl /hbase/region-in-transition sasl:hbase:cdrwa

setAcl /hbase/recovering-regions sasl:hbase:cdrwa

setAcl /hbase/replication sasl:hbase:cdrwa

setAcl /hbase/rs sasl:hbase:cdrwa

setAcl /hbase/running sasl:hbase:cdrwa

setAcl /hbase/splitWAL sasl:hbase:cdrwa

setAcl /hbase/table sasl:hbase:cdrwa

setAcl /hbase/table-lock sasl:hbase:cdrwa

setAcl /hbase/tokenauth sasl:hbase:cdrwa

参考:

1: http://hbase.apache.org/book.html#hbase.rolling.upgrade

2: http://hbase.apache.org/book.html#_external_zookeeper_configuration

3: http://s.apache.org/Rgo

via:apache.org

责任编辑:何妍 来源: oschina
相关推荐

2016-02-01 14:17:10

2016-05-17 09:42:16

2017-03-09 08:37:26

ApacheHBaseQuickstart

2013-11-29 15:41:08

解析漏洞ApacheApache解析漏洞

2021-12-29 14:47:43

Apache团队Log4j漏洞

2020-04-01 10:28:12

Apache HBas数据结构算法

2013-04-26 10:59:54

目录遍历漏洞

2011-09-26 11:09:33

2011-11-09 12:38:11

2013-01-22 11:31:00

2023-05-06 14:15:10

2021-04-14 09:50:48

零日漏洞漏洞网络安全

2014-08-27 16:02:53

2014-05-15 09:49:25

小米漏洞小米信息泄露

2011-10-14 10:12:32

信息泄露

2021-09-16 09:05:45

SQL注入漏洞网络攻击

2013-07-24 14:06:48

2023-12-14 16:20:09

2023-02-16 15:21:27

物联网

2021-02-26 00:49:00

DMARC邮件安全信息泄漏
点赞
收藏

51CTO技术栈公众号