Apache Hadoop爆信息泄漏漏洞

 

Hadoop大潮正在逐渐席卷所有美国的垂直行业,包括金融、传媒、零售、能源、以及制药等。Hadoop在树立大数据概念的同时,还对海量数据进行实时分析,并从分析得出的数据发现趋势,以提高企业赢利的能力。

Apache Hadoop作为开源数据管理软件主要用来在分布式环境中的分析大量的结构化和非结构化数据。Hadoop已被用在包括Yahoo,Facebook,LinkedIn和eBay等众多流行的网站之中。

但近日Cloudera的Aaron T. Myers发现了Hadoop存在信息泄露漏洞,此漏洞Bugtraq ID: 54358,CVE: CVE-2012-3376,此漏洞属于设计错误。漏洞波及远程用户,本地暂不受影响。Apache Hadoop 2.0.0-alpha在实现上存在信息泄露漏洞,成功利用后可允许攻击者获取敏感信息,这可能有助于进一步入侵。

漏洞是在2012年7月6日发布的,而补丁也同时释出,目前供应商已经公布可用更新。

延伸阅读

Apache Hadoop 2.0 alpha 版是5月23日发布的,此版本包含很多新的很重要的功能:

HDFS HA (manual failover)

NextGen MapReduce a.k.a YARN

HDFS Federation

Performance

Wire-compatibility for both HDFS & YARN (via protobufs)

除了新功能以外还有一些重要的改进,例如 HDFS Snapshots 和 auto-failover for HA NameNode, 另外在稳定性和性能方面都有提升。