.png)
Uzmanlar Azure HDInsight Spark, Kafka ve Hadoop hizmetlerindeki yeni kusurları detaylandırıyor
Azure HDInsight'ın Apache Hadoop, Kafka ve Spark hizmetlerinde, ayrıcalık yükseltme ve normal ifade hizmet reddi (ReDoS) koşulu elde etmek için kullanılabilecek üç yeni güvenlik açığı keşfedildi.
Orca güvenlik araştırmacısı Lidor Ben Shitrit, paylaşılan teknik bir raporda, "Yeni güvenlik açıkları, Apache Ambari ve Apache Oozie gibi Azure HDInsight hizmetlerinin kimliği doğrulanmış tüm kullanıcılarını etkiliyor" dedi.
Kusurların listesi aşağıdaki gibidir -
- CVE-2023-36419 (CVSS puanı: 8,8) - Azure HDInsight Apache Oozie İş Akışı Zamanlayıcısı XML Dış Varlığı (XXE) Ekleme Ayrıcalık Yükselmesi Güvenlik Açığı
- CVE-2023-38156 (CVSS puanı: 7,2) - Azure HDInsight Apache Ambari Java Veritabanı Bağlantısı (JDBC) Ekleme Ayrıcalık Yükselmesi Güvenlik Açığı
- Azure HDInsight Apache Oozie Normal İfade Hizmet Reddi (ReDoS) Güvenlik Açığı (CVE yok)
İki ayrıcalık yükseltme kusuru, hedef HDI kümesine erişimi olan kimliği doğrulanmış bir saldırgan tarafından özel hazırlanmış bir ağ isteği göndermek ve küme yöneticisi ayrıcalıkları elde etmek için kullanılabilir.
XXE kusuru, kök düzeyinde dosya okuma ve ayrıcalık yükseltmeye izin veren kullanıcı girişi doğrulama eksikliğinin bir sonucudur, JDBC enjeksiyon kusuru ise kök olarak bir ters kabuk elde etmek için silah haline getirilebilir.
Ben Shitrit, "Apache Oozie'deki ReDoS güvenlik açığı, uygun giriş doğrulama ve kısıtlama uygulamasının olmamasından kaynaklanıyordu ve bir saldırganın çok çeşitli eylem kimlikleri talep etmesine ve yoğun bir döngü işlemine neden olarak hizmet reddine (DoS) yol açmasına izin verdi" dedi.
ReDoS güvenlik açığının başarılı bir şekilde kötüye kullanılması, sistem işlemlerinin kesintiye uğramasına, performansın düşmesine ve hizmetin hem kullanılabilirliğini hem de güvenilirliğini olumsuz etkilemesine neden olabilir.
Sorumlu açıklamanın ardından Microsoft, 26 Ekim 2023'te yayınlanan güncellemelerin bir parçası olarak düzeltmeler yayınladı.
Geliştirme, Orca'nın açık kaynaklı analiz hizmetinde veri erişimi, oturum ele geçirme ve kötü amaçlı yükler teslim etmek için kullanılabilecek sekiz kusurdan oluşan bir koleksiyonu detaylandırmasından yaklaşık beş ay sonra geldi.
Aralık 2023'te Orca, Apache Hadoop Dağıtılmış Dosya Sistemi'ndeki (HDFS) herhangi bir veriye herhangi bir kimlik doğrulaması olmadan erişmek için kaynak oluştururken Apache Hadoop'un web arayüzlerindeki güvenlik kontrollerinin ve varsayılan ayarların eksikliğinden yararlanan Google Cloud Dataproc kümelerini etkileyen "potansiyel kötüye kullanım riskinin" de altını çizdi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Google Project Zero Researcher, Samsung Cihazlarını Hedefleyen Sıfır Tıklama İstismarını Ortaya Çıkardı
SonicWall, Palo Alto Expedition ve Aviatrix denetleyicilerinde önemli güvenlik açıkları düzeltildi
Yeni Banshee Stealer Varyantı, Apple'ın XProtect'ten İlham Alan Şifrelemesi ile Antivirüsü Atlıyor
GFI KerioControl'deki kritik RCE kusuru, CRLF enjeksiyonu yoluyla uzaktan kod yürütülmesine izin verir
CISA, Aktif Sömürünün Ortasında Mitel ve Oracle Sistemlerindeki Kritik Kusurları İşaretledi
Araştırmacılar Illumina iSeq 100 DNA Dizileyicilerindeki Büyük Güvenlik Açığını Ortaya Çıkardı
Moxa, kullanıcıları hücresel ve güvenli yönlendiricilerdeki yüksek önem derecesine sahip güvenlik açıklarına karşı uyarır
Araştırmacılar, imza atlama ve kod yürütmeyi sağlayan çekirdek güvenlik açığını ortaya çıkardı