CVE-2018-1296

Опубликовано: 24 янв. 2019

Источник: redhat

CVSS3: 5.9

Описание

In Apache Hadoop 3.0.0-alpha1 to 3.0.0, 2.9.0, 2.8.0 to 2.8.3, and 2.5.0 to 2.7.5, HDFS exposes extended attribute key/value pairs during listXAttrs, verifying only path-level search access to the directory rather than path-level read permission to the referent.

Меры по смягчению последствий

If a file contains sensitive data in extended attributes, users and admins need to change the permission to prevent others from listing the directory which contains the file.

Затронутые пакеты

Платформа	Пакет	Состояние
Red Hat Enterprise Linux 6	rhs-hadoop	Not affected
Red Hat Fuse 7	hadoop	Will not fix
Red Hat JBoss Fuse 6	hadoop	Out of support scope
Red Hat Storage 3	rhs-hadoop	Not affected

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate

Дефект:

CWE-285

https://bugzilla.redhat.com/show_bug.cgi?id=1671291hadoop: HDFS Permissive listXAttr Authorization

5.9 Medium

CVSS3

Связанные уязвимости

CVE-2018-1296

CVSS3: 7.5

nvd

почти 7 лет назад

CVE-2018-1296

CVSS3: 7.5

debian

почти 7 лет назад

In Apache Hadoop 3.0.0-alpha1 to 3.0.0, 2.9.0, 2.8.0 to 2.8.3, and 2.5 ...

GHSA-v569-g72v-q434

CVSS3: 7.5

github

почти 7 лет назад

Exposure of Sensitive Information to an Unauthorized Actor in Hadoop

BDU:2019-01068

CVSS3: 7.5

fstec

почти 8 лет назад

Уязвимость платформы для распределенной разработки и выполнения программ Apache Hadoop, связанная с ошибками разграничения доступа, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

5.9 Medium

CVSS3