警惕！Hadoop Yarn RPC未授权访问漏洞通告

漏洞描述

2021年11月15日，亚信安全应急响应中心（亚信安全 CERT）监测发现Hadoop Yarn RPC存在未授权访问漏洞（暂无CVE漏洞编号）。此漏洞存在于Hadoop的核心组件Hadoop Yarn中，因Hadoop Yarn默认对外开放RPC服务，导致远程攻击者可利用此未授权漏洞并通过RPC服务执行任意命令，从而达到控制目标服务器的目的。鉴于此漏洞为高危状态，危害较大，且细节已公开、被在野利用，亚信安全CERT建议所有使用Apache Hadoop的用户及时进行自查并采取安全措施。

注意：RESTful API对应的8088端口和相关认证机制与Hadoop Yarn RPC不一致，对RESTful API开启了认证的情况下，此漏洞仍可被利用。

漏洞编号

暂无漏洞CVE编号

漏洞状态

漏洞类型

未授权访问漏洞（通过RPC服务可以执行任意命令）

漏洞等级

高危（暂无CVSS评分及CVE编号）

受影响的版本

Apache Hadoop全版本

修复建议

1. 建议启用Kerberos认证功能，以阻止未经授权的访问。

2. 如非必要，建议禁止外部地址访问Hadoop RPC服务相关端口；或配置为仅对可信地址开放。

参考链接

https://hadoop.apache.org/docs/current/hadoop-yarn/hadoop-yarn-site/YARN.html

https://hadoop.apache.org/docs/current/hadoop-project-dist/hadoop-common/SecureMode.html#Configuration