Apache HBase 出现信息泄漏漏洞 - 开源中国社区
Float_left Icon_close
Apache HBase 出现信息泄漏漏洞
oschina 2015年05月26日

Apache HBase 出现信息泄漏漏洞

oschina oschina 发布于2015年05月26日 收藏 6 评论 6

阿里云高性能云服务器,2折起! >>> >>>  

Apache HBase 因为远程拒绝服务发现信息泄露漏洞和信息完整性出现问题。

受影响的版本有:

  • HBase 0.98.0 - 0.98.12

  • HBase 1.0.0 - 1.0.1

  • HBase 1.1.0

  • HBase 0.96(受波及了)

逻辑错误导致 HBase 最安全的配置部署到 ZooKeeper 处理协调状态 不安全的 ACLs。任何人都可以通过远程访问登录 ZooKeeper,与此相关的有 HBase 客户端将降低甚至是完全不可用。任何连接到 HBase 集群的授权用户都可以修改参数和看到他们本没有权限看到的 HBase 数据信息。

我们建议 HBase 用户升级更新他们相对应的修补程序版本 (e.g. 0.98.12.1, 1.0.1.1, 1.1.0.1) 以确保能够写入正确的 ACLs 信息。任何这些修补程序都可以升级且为零停机时间升级 [1] 因为这个逻辑 bug 掩盖一些配置错误我们鼓励用户在开始升级过程 [2] 之前验证部署

一旦用户升级到合适的版本,那么用户必须在 ZooKeeper 客户端上执行一系列的 ZooKeeper 指令。更多关于使用ZooKeeper 客户端安全设置的信息请参考 ZooKeeper 文件[3]
    setAcl /hbase world:anyone:r,sasl:hbase:cdrwa
    setAcl /hbase/backup-masters sasl:hbase:cdrwa
    setAcl /hbase/draining sasl:hbase:cdrwa
    setAcl /hbase/flush-table-proc sasl:hbase:cdrwa
    setAcl /hbase/hbaseid world:anyone:r,sasl:hbase:cdrwa
    setAcl /hbase/master world:anyone:r,sasl:hbase:cdrwa
    setAcl /hbase/meta-region-server world:anyone:r,sasl:hbase:cdrwa
    setAcl /hbase/namespace sasl:hbase:cdrwa
    setAcl /hbase/online-snapshot sasl:hbase:cdrwa
    setAcl /hbase/region-in-transition sasl:hbase:cdrwa
    setAcl /hbase/recovering-regions sasl:hbase:cdrwa
    setAcl /hbase/replication sasl:hbase:cdrwa
    setAcl /hbase/rs sasl:hbase:cdrwa
    setAcl /hbase/running sasl:hbase:cdrwa
    setAcl /hbase/splitWAL sasl:hbase:cdrwa
    setAcl /hbase/table sasl:hbase:cdrwa
    setAcl /hbase/table-lock sasl:hbase:cdrwa
    setAcl /hbase/tokenauth sasl:hbase:cdrwa

参考:


1: http://hbase.apache.org/book.html#hbase.rolling.upgrade
2: http://hbase.apache.org/book.html#_external_zookeeper_configuration
3: http://s.apache.org/Rgo
via:apache.org

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:Apache HBase 出现信息泄漏漏洞
分享
评论(6)
最新评论
0
众楼上都是大牛啊,菜鸟路过
0
都是内部集群,基本没有风险压力。
0
HBase本来就是局域网中的局域网应用,不需要太关注这方面的事情,对外的不讨论。
0
不对外这个漏洞也很严重,内部人员就可以直接获取信息
0
风险不算大,没多少HBase是直接对外的
0
用hbase, 从来不搞安全。
顶部