YARN 远程代码执行(RCE)安全漏洞问题分析与解决方案

news2024/12/28 6:23:25

YARN 远程代码执行(RCE)安全漏洞问题分析与解决方案

1 YARN RCE 漏洞问题问题现象

某客户使用Tenable.sc扫描安全漏洞后反馈,YARN 存在Remote code execution (RCE) 安全漏洞问题,攻击者可在未经过身份验证的情况下通过该漏洞在受影响主机执行任意命令,最终控制服务器。
问题描述及细节情况如下图所示:

2 YARN RCE 漏洞问题分析与复现

  • YARN 内置了Jetty并基于Jetty提供了 restful api,用户可以访问这些 restful api 以获得YARN集群中集群、节点和用用的相关信息。
  • 在未作特殊配置的情况下,普通用户确实可以在未认证的情况下访问yarn这些restful api,通过巧妙地构建特定的JSON输入数据,确实可以通过Remote code execution (RCE) 安全漏洞在受影响主机执行任意命令,最终控制服务器。
  • 我们可以通过开启kerberos安全认证(hadoop.security.authentication=kerberos),来阻止针对整个hadoop集群(包括hdfs/yarn)的基于RPC的未授权访问;
  • 我们可以通过进一步开启 HTTP Web 控制台的 Kerberos 身份验证(hadoop.http.authentication.type=kerberos),来阻止针对整个hadoop集群(包括hdfs/yarn)的基于http的未授权访问;

2.1 未开启kerberos安全认证

在未开启kerberos安全认证的集群中(core-site.xml中hadoop.security.authentication=simple):

  • 用户在未经安全认证的情况下,可以正常使用yarn application -list等客户端命令(底层基于rpc协议):
  • 用户在未经安全认证的情况下,也可以正常访问yarn的restful api(底层基于http协议):

2.2 开启kerberos安全认证

在开启了kerberos安全认证的集群中(core-site.xml中hadoop.security.authentication=kerberos):

  • 用户只有在经过 kinit安全认证的情况下,才可以使用yarn application -list等客户端命令(底层基于rpc协议);
  • 但可以在未经任何认证的情况下,使用curl等命令或浏览器等正常访问yarn的restful api(底层基于http协议):

2.3 开启kerberos安全认证和 HTTP Web 控制台的 Kerberos 身份验证

在开启了kerberos安全认证且启用了 HTTP Web 控制台的 Kerberos 身份验证的集群(core-site.xml中hadoop.security.authentication=Kerberos,且hadoop.http.authentication.type=kerberos):

  • 用户只有在经过 kinit安全认证后,才可以正常使用yarn application -list等客户端命令(底层基于rpc协议);
  • 且只有在经过配置和认证的情况下,才可以使用curl等命令或浏览器正常访问yarn的restful api(底层基于http协议):

3.问题解决

  • 综上所述,可以更改服务端配置,开启集群的kerberos的安全认证和 HTTP Web 控制台的 Kerberos 身份验证(core-site.xml中hadoop.security.authentication=Kerberos,且hadoop.http.authentication.type=kerberos),来阻止YARN的各种未授权访问漏洞,包括未认证Remote code execution (RCE) 安全漏洞;

  • 在CDH/CDP等大数据平台中,可以通过CM界面完成上述操作变更,开启kerberos的安全认证:管理=》安全=》启用kerberos;

  • 在CDH/CDP等大数据平台中,可以通过CM界面一键完成上述操作变更,开启HTTP Web 控制台的 Kerberos 身份验证;

4. 技术背景

  • 在未开启kerberos安全认证的集群中(core-site.xml中hadoop.security.authentication=simple),用户在未经安全认证的情况下,可以正常使用yarn/hdfs等客户端命令(底层基于rpc协议),也可以正常访问yarn/hdfs等的web控制台或restful api(底层基于http协议);
  • 我们可以通过开启kerberos安全认证(hadoop.security.authentication=kerberos),来阻止针对整个hadoop集群(包括hdfs/yarn)的基于RPC的未授权访问,此时客户端通过 rpc 协议访问大数据服务如 hdfs/yarn/hive/hbase/kafka/zookeeper/spark 等服务端时,只有在经过 kerberos 认证后才能访问成功;
  • 我们可以通过进一步开启 HTTP Web 控制台的 Kerberos 身份验证(hadoop.http.authentication.type=kerberos),来阻止针对整个hadoop集群(包括hdfs/yarn)的基于http的未授权访问,此时用户在通过 web 浏览器或curl等命令基于 http/https访问大数据服务如 namenode/resourceManager/hive hs2/spark History Server 等的 webui或restful api时,spnego 会对用户进行身份验证,用户只有在成功通过了 kerberos 认证拿到了 ticket 后,才能成功访问对应服务的 web ui(需要在浏览器或curl等命令中做相应配置);
  • 开启hdfs/yarn的HTTP Web 控制台的 Kerberos 身份验证,其背后更改的是配置文件core-site.xml中的hadoop.http.authentiation.* 等配置项,如下图所示:

  • 配置hdfs/yarn之外的其它服务的HTTP Web 控制台的 Kerberos 身份验证,比如Hive等服务,在CDH/CDP中部分版本可能没有一键进行开启或关闭的功能,此时需要通过高级代码端的方式进行配置,且如果配置参数不全的话,对应的服务可能会启动失败:(当然如果这些服务只是提供了web ui页面而没有提供restful api, 也不会有未认证的RCE安全问题):

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/462869.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【21】核心易中期刊推荐——人工智能 | 遥感图像识别

🚀🚀🚀NEW!!!核心易中期刊推荐栏目来啦 ~ 📚🍀 核心期刊在国内的应用范围非常广,核心期刊发表论文是国内很多作者晋升的硬性要求,并且在国内属于顶尖论文发表,具有很高的学术价值。在中文核心目录体系中,权威代表有CSSCI、CSCD和北大核心。其中,中文期刊的数…

psql在建表时,分为常规、外部、分区,三者有什么区别?如何从建表语句中区分?

在 PostgreSQL 中,常规表、外部表和分区表都可以通过 CREATE TABLE 语句进行创建,它们的创建语法略有不同,通过创建语句可以很明显地区分它们的类型。 以下是常规表、外部表和分区表的创建语法及示例: 1. 常规表 常规表是最常见…

Spring核心与设计思想、创建与使用

文章目录 一、Spring是什么二、为什么要学习框架三、IoC和DI(一)IoC1. 认识IoC2. Spring的核心功能 (二)DI 四、Spring项目的创建(一)使用 Maven 方式创建一个 Spring 项目 五、Spring项目的使用&#xff0…

少年与阿童木:一场软件竞技赛背后的智能未来

1961年,手冢治虫创办了虫制作株式会社,带领团队开始尝试将此前的漫画作品进行动画化。1963年的元旦,他们的首部作品一经播出就引发轰动,这部动画的名字叫做——《铁臂阿童木》。 一晃数十年,阿童木已经成为了几代人对A…

2023年6月DAMA-CDGA/CDGP数据治理工程师认证报名及费用

目前6月DAMA-CDGA/CDGP数据治理认证考试开放报名地区有:北京、上海、广州、深圳、长沙、呼和浩特。目前南京、济南、西安、杭州等地区还在接近开考人数中,打算6月考试的朋友们可以抓紧时间报名啦!!! 5月初,…

大数据 | 实验二:文档倒排索引算法实现

文章目录 📚实验目的📚实验平台📚实验内容🐇在本地编写程序和调试🥕代码框架思路🥕代码实现 🐇在集群上提交作业并执行🥕在集群上提交作业并执行,同本地执行相比即需修改…

蓝牙耳机怎么挑选?鹏鹏数码盘点2023口碑蓝牙耳机排行榜

大家好,欢迎来到鹏鹏数码频道。 上次测评发布后网友们评论不知道蓝牙耳机怎么挑选,为此我购入了市面上主流品牌的蓝牙耳机共计三十款, 经过两周的地狱式测评,总结了口碑蓝牙耳机排行榜,看看表现最好的是哪几款蓝牙耳机…

Linux操作系统命令大全

Linux是一种操作系统 Operating System 简称 OS ,是软件的一部分,它是硬件基础上的第一层软件,是硬件和其它软件沟通的桥梁。 操作系统会控制其他程序运行,管理系统资源,提供最基本的计算功能,如管理及配置…

SSM整合(一) | SSM创建项目配置整合 - 添加功能模块

文章目录 SSM整合SSM配置整合SSM功能模块 SSM整合 SSM配置整合 SSM整合流程: 创建工程SSM整合 Spring SpringConfig MyBatis MybatisConfigJdbcConfigjdbc.properties SpringMVC ServletConfigSpringMvcConfig 创建工程 基于Maven创建项目, 选择webapp模版并补全缺失的目录 …

最优化方法Python计算:一元函数导数的数值计算

定义1 给定连续函数 f ( x ) f(x) f(x), x ∈ Ω ⊆ R x\in\Omega\subseteq\text{ℝ} x∈Ω⊆R。设 x , x 1 ∈ Ω x,x_1\in\Omega x,x1​∈Ω, Δ x x − x 1 \Delta xx-x_1 Δxx−x1​ 称为变量 x x x的差分。此时, x x 1 Δ x xx_1\De…

黑盒测试过程中【测试方法】详解5-输入域,输出域,猜错法

在黑盒测试过程中,有9种常用的方法:1.等价类划分 2.边界值分析 3.判定表法 4.正交实验法 5.流程图分析 6.因果图法 7.输入域覆盖法 8.输出域覆盖法 9.猜错法 黑盒测试过程中【测试方法】讲解1-等价类,边界值,判定表_朝一…

Linux下实现共享内存的两种机制(附源码)

START Hello 大家好。 今天来讲一下Linux进程通信中重要的通信方式:共享内存作为Linux软件开发攻城狮,进程间通信是必须熟练掌握的重要技能,而共享内存是在程序开发中常用的也是重要的一种进程间通信方式。 下面我们就来聊一聊Linux下进程间…

【C++】string类的深浅拷贝问题

string类的深浅拷贝问题 浅拷贝问题构造/析构函数拷贝构造/赋值运算符重载的多种写法 浅拷贝问题 我们知道,定义一个类的时候,如果我们没有写构造,拷贝构造,赋值运算符重载,析构方法的话,编译器会自动生成。…

Django学习笔记001之创建项目

学习目标: 了解前端后台框架 掌握vs搭建Django环境 学习内容 1.背景学习 优缺点: 2.vs搭建Django开发环境 2.1. 准备vscode工具 可以从github上获取:https://github.com/microsoft/vscode。 2.2. 构建python虚拟环境 使用的命令是pyth…

微分方程数值解法(Runge-Kutta法PLC实现)

微分方程数值解法之欧拉法请参看下面的博客文章: 微分方程数值解法(PID仿真用一阶被控对象库PLC算法实现)_数学微积分算法plc编程实例_RXXW_Dor的博客-CSDN博客微分方程除极特殊情况外,大部分不可能求出它的精确解,只能用各种近似方法得到满足一定精度的近似解,微分方程由…

CTA进网检验要求修订原则和变更说明 SAR新国标在2024年正式实施

《进网检验要求文件》 实行定期及动态更新原则,其中检测项目应能体现进网监管的职责定位。 第一部分 基本功能性能 第二部分 空间性能 SAR 新版进网检验要求细化了各场景的测试距离: SAR新要求的实施日期: 第二部分 空间性能 EMC 第二部分 空…

【MySQL】查询中,NULL值转换为空字符串

系列文章 C#底层库–MySQLBuilder脚本构建类(select、insert、update、in、带条件的SQL自动生成) 本文链接:https://blog.csdn.net/youcheng_ge/article/details/129179216 C#底层库–MySQL数据库操作辅助类(推荐阅读&#xff0…

【browserify】一步步教你学会browserify

https://www.cnblogs.com/fsg6/p/13139627.html Browserify browserify的官网是http://browserify.org/,他的用途是将前端用到的众多资源(css,img,js,…) 打包成一个js文件的技术。 比如在html中引用外部资源的时候,原来我们可能这样写 &l…

C嘎嘎~~ [类 上篇]

类 上篇 1.面向过程和面向对象的认识2.类的引入3.类的定义4.类的访问限定符和封装4.1封装4.2访问限定符 5.类的作用域 1.面向过程和面向对象的认识 面向过程 和 面向对象的区别: 面向过程关注的是过程, 而面向对象关注的是对象之间的关系, 交互. C语言是面向过程的, 而C是面向对…

webshell gif图片文件绕过

目录页/dev/index. php允许GIF上传。尝试上传不同的文件类型将被拒绝。 这可以通过首先上传合法的GIF文件来绕过。使用了一个小的GIF https://giphy.com/gifs/obi-won-hvE0PhVAnGQAo 下载一个小的字节图片测试 上传文件并使用Burpsuite捕获请求。尝试上传时的请求应类似于下…