Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-08364

Опубликовано: 13 июл. 2022
Источник: fstec
CVSS3: 7.5
CVSS2: 7.1
EPSS Средний

Описание

Уязвимость платформы для распределенной разработки и выполнения программ Apache Hadoop связана с использованием ненадёжного пути поиска. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять команды с привилегиями root

Вендор

Apache Software Foundation

Наименование ПО

Hadoop

Версия ПО

от 3.3.1 до 3.3.4 включительно (Hadoop)

Тип ПО

ПО для разработки ИИ

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Ииспользование рекомендаций:
https://hadoop.apache.org/cve_list.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 95%
0.16285
Средний

7.5 High

CVSS3

7.1 High

CVSS2

Связанные уязвимости

redhat логотип

CVE-2023-26031

CVSS3: 7.5
redhat
около 2 лет назад

Relative library resolution in linux container-executor binary in Apache Hadoop 3.3.1-3.3.4 on Linux allows local user to gain root privileges. If the YARN cluster is accepting work from remote (authenticated) users, this MAY permit remote users to gain root privileges. Hadoop 3.3.0 updated the " YARN Secure Containers https://hadoop.apache.org/docs/stable/hadoop-yarn/hadoop-yarn-site/SecureContainer.html " to add a feature for executing user-submitted applications in isolated linux containers. The native binary HADOOP_HOME/bin/container-executor is used to launch these containers; it must be owned by root and have the suid bit set in order for the YARN processes to run the containers as the specific users submitting the jobs. The patch " YARN-10495 https://issues.apache.org/jira/browse/YARN-10495 . make the rpath of container-executor configurable" modified the library loading path for loading .so files from "$ORIGIN/" to ""$ORIGIN/:../lib/native/". This is the a path through which...

nvd логотип

CVE-2023-26031

CVSS3: 7.5
nvd
около 2 лет назад

Relative library resolution in linux container-executor binary in Apache Hadoop 3.3.1-3.3.4 on Linux allows local user to gain root privileges. If the YARN cluster is accepting work from remote (authenticated) users, this MAY permit remote users to gain root privileges. Hadoop 3.3.0 updated the " YARN Secure Containers https://hadoop.apache.org/docs/stable/hadoop-yarn/hadoop-yarn-site/SecureContainer.html " to add a feature for executing user-submitted applications in isolated linux containers. The native binary HADOOP_HOME/bin/container-executor is used to launch these containers; it must be owned by root and have the suid bit set in order for the YARN processes to run the containers as the specific users submitting the jobs. The patch " YARN-10495 https://issues.apache.org/jira/browse/YARN-10495 . make the rpath of container-executor configurable" modified the library loading path for loading .so files from "$ORIGIN/" to ""$ORIGIN/:../lib/native/". This is the a path through which

debian логотип

CVE-2023-26031

CVSS3: 7.5
debian
около 2 лет назад

Relative library resolution in linux container-executor binary in Apac ...

github логотип

GHSA-94jh-j374-9r3j

CVSS3: 7.5
github
около 2 лет назад

Apache Hadoop allows local user to gain root privileges

EPSS

Процентиль: 95%
0.16285
Средний

7.5 High

CVSS3

7.1 High

CVSS2