Уязвимость Zip Slip затрагивает Apache Hadoop YARN NodeManager

Komrakoff

VIP
Подтвержденный
Регистрация
02.06.15
Сообщения
260
Реакции
342
Депозит
0
Покупок
0
Продаж
1
Уязвимость Zip Slip, о которой впервые стало известно в июне нынешнего года, нашла новую «жертву» - демон Apache Hadoop YARN NodeManager. Проблема существует во всех версиях Hadoop YARN, кроме 3.1.1, 3.0.3, 2.8.5 и 2.7.7, а также в JBoss Fuse 6.0 и 7.0.

Как сообщает специалист компании Apache Акира Аджисака (Akira Ajisaka), уязвимость затрагивает реализации NodeManager, использующие общедоступные архивы в распределенном кэше. По словам Аджисаки, уязвимость «позволяет пользователям кластера публиковать общедоступные архивы, способные затрагивать другие файлы, принадлежащие пользователю, запускающему демон YARN NodeManager. В случае, если затронутые файлы принадлежат другому, уже локализованному общедоступному архиву на узле, возможно внедрение кода в задания других пользователей кластера, использующих общедоступный архив».



Обнаруженная в июне уязвимость Zip Slip затрагивает любой код, распаковывающий сжатые архивы. Благодаря недостаточной проверке имен файлов злоумышленник может указывать место для разархивированного файла в существующей папке или файле на атакуемой системе. Оттуда код злоумышленника может переписать данные в любом месте на системе и позволить ему внедрять произвольные команды в скрипты или изменять исполняемые файлы.


Текущая неделя оказалась весьма напряженной для Hadoop YARN. Как ранее сообщал SecurityLab, исследователи компании Netscout обнаружили образец вредоносного ПО Mirai для серверов Hadoop YARN.

Подробнее: https://www.securitylab.ru/news/496667.php
 
Сверху Снизу