События

Уязвимость Zip Slip затрагивает Apache Hadoop YARN NodeManager

Уязвимость Zip Slip, о которой впервые стало известно в июне нынешнего года, нашла новую «жертву» - демон Apache Hadoop YARN NodeManager. Проблема существует во всех версиях Hadoop YARN, кроме 3.1.1, 3.0.3, 2.8.5 и 2.7.7, а также в JBoss Fuse 6.0 и 7.0.

Как сообщает специалист компании Apache Акира Аджисака (Akira Ajisaka), уязвимость затрагивает реализации NodeManager, использующие общедоступные архивы в распределенном кэше. По словам Аджисаки, уязвимость «позволяет пользователям кластера публиковать общедоступные архивы, способные затрагивать другие файлы, принадлежащие пользователю, запускающему демон YARN NodeManager. В случае, если затронутые файлы принадлежат другому, уже локализованному общедоступному архиву на узле, возможно внедрение кода в задания других пользователей кластера, использующих общедоступный архив».

Обнаруженная в июне уязвимость Zip Slip затрагивает любой код, распаковывающий сжатые архивы. Благодаря недостаточной проверке имен файлов злоумышленник может указывать место для разархивированного файла в существующей папке или файле на атакуемой системе. Оттуда код злоумышленника может переписать данные в любом месте на системе и позволить ему внедрять произвольные команды в скрипты или изменять исполняемые файлы.

Текущая неделя оказалась весьма напряженной для Hadoop YARN. Как ранее сообщал SecurityLab, исследователи компании Netscout обнаружили образец вредоносного ПО Mirai для серверов Hadoop YARN.

Источник

Автор: Сергей Куприянов
23.11.2018 (17:25)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome

Все права защищены © 2010-2024

"alterprogs.com" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.com. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.