Apache HBase 出現信息泄漏漏洞
Apache HBase 因為遠程拒絕服務、發現信息泄露漏洞和信息完整性出現問題。
受影響的版本有:
HBase 0.98.0 - 0.98.12
HBase 1.0.0 - 1.0.1
HBase 1.1.0
HBase 0.96(受波及了)
邏輯錯誤導致 HBase 最安全的配置部署到 ZooKeeper 上處理其協調狀態 不安全的 ACLs。任何人都可以通過遠程訪問登錄 ZooKeeper,與此相關的有 HBase 客戶端將降低甚至是完全不可用。任何連接到 HBase 集群的授權用戶都可以修改參數和看到他們本沒有權限看到的 HBase 數據信息。
我們建議 HBase 用戶升級更新他們相對應的修補程序版本 (e.g. 0.98.12.1, 1.0.1.1, 1.1.0.1) 以確保能夠寫入正確的 ACLs 信息。任何這些修補程序都可以升級且為零停機時間升級 [1] 。因為這個邏輯 bug 能掩蓋一些配置錯誤,我們鼓勵用戶在開始升級過程 [2] 之前驗證部署。
一旦用戶升級到合適的版本,那么用戶必須在 ZooKeeper 客戶端上執行一系列的 ZooKeeper 指令。更多關于使用ZooKeeper 客戶端安全設置的信息請參考 ZooKeeper 文件[3]。
setAcl /hbase world:anyone:r,sasl:hbase:cdrwa
setAcl /hbase/backup-masters sasl:hbase:cdrwa
setAcl /hbase/draining sasl:hbase:cdrwa
setAcl /hbase/flush-table-proc sasl:hbase:cdrwa
setAcl /hbase/hbaseid world:anyone:r,sasl:hbase:cdrwa
setAcl /hbase/master world:anyone:r,sasl:hbase:cdrwa
setAcl /hbase/meta-region-server world:anyone:r,sasl:hbase:cdrwa
setAcl /hbase/namespace sasl:hbase:cdrwa
setAcl /hbase/online-snapshot sasl:hbase:cdrwa
setAcl /hbase/region-in-transition sasl:hbase:cdrwa
setAcl /hbase/recovering-regions sasl:hbase:cdrwa
setAcl /hbase/replication sasl:hbase:cdrwa
setAcl /hbase/rs sasl:hbase:cdrwa
setAcl /hbase/running sasl:hbase:cdrwa
setAcl /hbase/splitWAL sasl:hbase:cdrwa
setAcl /hbase/table sasl:hbase:cdrwa
setAcl /hbase/table-lock sasl:hbase:cdrwa
setAcl /hbase/tokenauth sasl:hbase:cdrwa
參考:
1: http://hbase.apache.org/book.html#hbase.rolling.upgrade
2: http://hbase.apache.org/book.html#_external_zookeeper_configuration
3: http://s.apache.org/Rgo
via:apache.org
