Apache HBase 呈现信息泄露破绽

Apache HBase 由于近程拒绝服务、发现信息泄露漏洞和信息完整性出现问题。

受影响的版本有：

HBase 0.98.0 – 0.98.12

HBase 1.0.0 – 1.0.1

HBase 1.1.0

HBase 0.96(受波及了)

逻辑过错导致 HBase 最安全的设置安排到 ZooKeeper 上处理其协调状态 不安全的 ACLs。任何人都能够通过近程访问登录 ZooKeeper，与此相关的有 HBase 客户端将降低甚至是完全不可用。任何连接到 HBase 集群的授权用户都能够修改参数和看到他们本没有权限看到的 HBase 数据信息。

我们建议 HBase 用户进级更新他们相对应的修补程序版本 (e.g. 0.98.12.1, 1.0.1.1, 1.1.0.1) 以确保能够写入正确的 ACLs 信息。任何这些修补程序都能够进级且为零停机时间进级 [1] 。由于这个逻辑 bug 能掩盖一些设置过错，我们鼓励用户在开始进级过程 [2] 之前验证安排。

一旦用户进级到合适的版本，那么用户必须在 ZooKeeper 客户端上执行一系列的 ZooKeeper 指令。更多关于使用ZooKeeper 客户端安全设置的信息请参考 ZooKeeper 文件[3]。

setAcl /hbase world:anyone:r,sasl:hbase:cdrwa

setAcl /hbase/backup-masters sasl:hbase:cdrwa

setAcl /hbase/draining sasl:hbase:cdrwa

setAcl /hbase/flush-table-proc sasl:hbase:cdrwa

setAcl /hbase/hbaseid world:anyone:r,sasl:hbase:cdrwa

setAcl /hbase/master world:anyone:r,sasl:hbase:cdrwa

setAcl /hbase/meta-region-server world:anyone:r,sasl:hbase:cdrwa

setAcl /hbase/namespace sasl:hbase:cdrwa

setAcl /hbase/online-snapshot sasl:hbase:cdrwa

setAcl /hbase/region-in-transition sasl:hbase:cdrwa

setAcl /hbase/recovering-regions sasl:hbase:cdrwa

setAcl /hbase/replication sasl:hbase:cdrwa

setAcl /hbase/rs sasl:hbase:cdrwa

setAcl /hbase/running sasl:hbase:cdrwa

setAcl /hbase/splitWAL sasl:hbase:cdrwa

setAcl /hbase/table sasl:hbase:cdrwa

setAcl /hbase/table-lock sasl:hbase:cdrwa

setAcl /hbase/tokenauth sasl:hbase:cdrwa

参考：

1: https://hbase.apache.org/book.html#hbase.rolling.upgrade

2: https://hbase.apache.org/book.html#_external_zookeeper_configuration

3: https://s.apache.org/Rgo

via：apache.org

【编辑推荐】

转载自:https://netsecurity.51cto.com/art/201505/477861.htm

声明: 除非转自他站（如有侵权，请联系处理）外，本文采用 BY-NC-SA 协议进行授权 | 嗅谱网
转载请注明：转自《Apache HBase 呈现信息泄露破绽》
本文地址：http://www.xiupu.net/archives-4465.html
关注公众号：