2023年11月16日, 在框架中发现了一个标记为 (CVE-2023-26031)的安全漏洞。YARN Secure Containers功能用于在隔离的 linux 容器中执行用户提交的应用程序,如果 YARN 集群正在接受来自远程(经过身份验证)用户的工作,则这可能允许远程用户获得 root 权限。请各位用户尽快安装漏洞补丁。
漏洞风险: Apache Hadoop 在 3.3.1-3.3.4 版本中,由于container-executor命令被设置成suid位并以root身份执行,动态链接库加载路径变为:"$ORIGIN/:…/lib/native/"。如果经过身份认证的攻击者可以向 yarn 集群提交在宿主机上运行的任务,并在"$ORIGIN/:../lib/native/"中增加同名libcrypto.so,从而利用此漏洞加载恶意 so 文件并提升到 root 权限。
风险等级:高风险。
影响范围:
org.apache.hadoop:hadoop-yarn-server-nodemanager@[3.3.1, 3.3.5)
hadoop@[3.3.1, 3.3.4]
hadoop@[3.3.1, 3.3.4]
修复建议:如果Yarn Secure Containers 无法升级,使用3.3.5版本的container-executor二进制文件来替换当前的container-executor二进制文件。
如果不需要Yarn Secure Containers功能,删除bin/container-executor的所有执行权限,将bin/container-executor的权限从root改为其他用户。
进行安全更新方法:
https://lists.apache.org/thread/q9qpdlv952gb4kphpndd5phvl7fkh71r
