Apache Hadoopの脆弱性 (CVE-2017-3166)
こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。
11/08/2017にApache Hadoopの脆弱性情報(CVE-2017-3166)が公開されています。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
Priority
Important
修正方法
開発元、または各ディストリビューションの情報を確認してください。
CVE概要(詳細はCVEのサイトをご確認ください)
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3166
権限昇格の可能性
重要度 : Important
影響するバージョン : Hadoop 2.6.1+, 2.7.x before 2.7.4, 3.0.0-alpha before 3.0.0-alpha4
YARNユーザが全てのHDFS暗号化キーへのアクセスを許可されているクラスタ環境で、暗号化ゾーンのファイルがYARNのローカライゼーションメカニズムを使って全てのユーザに読み込み可能になっている場合(例えば、MapReduce分散キャッシュなど)、ファイルは全てのユーザに読み込み可能として格納されて全てのアプリケーションのローカライゼーションを通して共有されます。これを利用して、ユーザは透過的暗号化によって保護されるべきファイルに対してアクセスできる可能性があります。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
Debian
Red Hat Enterprise Linux/CentOS
Ubuntu
SUSE/openSUSE
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。
[参考]
https://access.redhat.com/security/cve/CVE-2017-3166
セキュリティ系連載案内
OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2017のレポートが紹介されています。
セミナー情報
2017/11/29 19:00に、OSSセキュリティ技術の会 第二回勉強会を行います。
今回のテーマは新世代のOSS認証基盤です。
https://connpass.com/event/69314/がプログラム内容と申し込みの詳細になります。奮ってご参加下さい。