漏洞分布:所有版本
漏洞级别:高危
漏洞类别:未授权漏洞
漏洞URL:
http://25.215.xxx.xxx:19888/ http://25.215.xxx.xxx:50070/ http://25.215.xxx.xxx:50090/ http://25.215.xxx.xxx:50075/ http://25.215.xxx.xxx:8088/cluster二、漏洞描述
Hadoop是一个由Apache基金会所开发的分布式系统基础架构,由于服务器直接在开放了 Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口,黑客可以通过命令行操作多个目录下的数据,如进行删除,下载,目录浏览、命令执行等操作,危害极大。
三、验证过程1、http://25.215.xxx.xxx:19888/
2、http://25.215.xxx.xxx:50070/
3、http://25.215.xxx.xxx:50075/
4、http://25.215.xxx.xxx:8088/cluster
1、如无必要, 关闭 Hadoop Web 管理⻚面;
此方法不实用,因为50070端口和8088端口,我们日常工作中需要经常去这两个页面查看数据和运行日志。
2、开启身份验证 ,防止未经授权用户访问;
可以开启kerberos认证,但开启Kerberos认证后又过于麻烦。
3、设置“安全组”访问控制策略,将 Hadoop 默认开放的多个端口对公网全部禁止或限制可信任的 IP 地址才能访包括 50070 以及 8088 WebUI 等相关端口。
因我们使用的华为数据中台,此方法最简单,只需要简单配置一下就可以了
4、也有其他大神研究的给50070页面添加验证的方法,但此方法没有说明8088端口如何规避漏洞,而且我使用Hadoop3.2.0测试了,没有成功:
参考:
https://streever.atlassian.net/wiki/spaces/HADOOP/blog/2014/03/07/491558/Securing+Hadoop+HDP+Web+UI+Component+s
https://blog.csdn.net/TeeLeeJoin/article/details/93490570
