Hadoop Yarn 漏洞列表

app="APACHE-hadoop-YARN"

YARN是hadoop系统上的资源统⼀管理平台，其主要作用是实现集群资源的统⼀管理和调度，可以把MapReduce计算框架作为⼀个应用程序运行在YARN系统之上。YARN提供了默认开放在8088和8090的REST API（默认前者）允许用户直接通过API进行相关的应用创建，任务提交执行等操作，攻击者可通过未授权创建Application从而达到rce的效果。

Hadoop Yarn RPC存在未授权访问漏洞，此漏洞存在于Hadoop的核心组件Hadoop Yarn中，因HadoopYarn默认对外开放RPC服务，导致远程攻击者可利用此未授权漏洞并通过RPC服务执行任意命令，从而达到控制目标服务器的目的，鉴于此漏洞为高危状态，危害较大，且细节已公开、被在野利用，建议所有使用ApacheHadoop的用户及时进行自查并采取安全措施。

Hadoop是一个由Apache基金会所开发的分布式系统基础架构，YARN是hadoop系统上的资源统一管理平台，其主要作用是实现集群资源的统一管理和调度，可以把MapReduce计算框架作为一个应用程序运行在YARN系统之上，通过YARN来管理资源。简单的说，用户可以向YARN提交特定应用程序进行执行，其中就允许执行相关包含系统命令。YARN提供有默认开放在8088和8090的RESTAPI（默认前者）允许用户直接通过API进行相关的应用创建、任务提交执行等操作，如果配置不当，RESTAPI将会开放在公网导致未授权访问的问题，那么任何黑客则就均可利用其进行远程命令执行，从而进行挖矿等行为。

【漏洞描述】 Hadoop_YARN_ResourceManager_未授权访问，可查看大量日志及配置信息

【漏洞对象】Hadoop YARN 【涉及版本】Hadoop YARN 【漏洞描述】 Hadoop YARN （Yet Another ResourceNegotiator，另一种资源协调者）是一种新的 Hadoop资源管理器，它是一个通用资源管理系统，可为上层应用提供统一的资源管理和调度，它的引入为集群在利用率、资源统一管理和数据共享等方面带来了巨大好处。 HadoopYARN ResourceManager存在安全漏洞，黑客在未授权的情况下可执行任意命令。