Dentro del campo del Big data, Apache Hadoop se presenta como una figura dominante, siendo un marco de software que utiliza la capacidad de la computación distribuida para procesar y analizar grandes conjuntos de datos. No obstante, la reciente identificación de la vulnerabilidad CVE-2023-26031 de gravedad Alta (7.5) constituye una seria amenaza para la seguridad de las implementaciones de Hadoop. Esta vulnerabilidad posibilita que usuarios locales adquieran privilegios de root y, en consecuencia, comprometan potencialmente datos confidenciales.
Productos Afectados
Versiones 3.3.1 a 3.3.4 de Apache Hadoop en sistemas Linux.
Solución
- Actualizar a Apache Hadoop 3.3.5: Este es el enfoque más sencillo y recomendado, ya que resuelve el problema subyacente.
- Reemplazar el binario contenedor-ejecutor: como medida temporal, si se requieren contenedores Yarn Secure en una versión vulnerable y la actualización inmediata no es factible, reemplazar el binario contenedor-ejecutor con el de la versión 3.3.5 parcheará temporalmente la vulnerabilidad.
Recomendación
Deshabilitar el contenedor-ejecutor: si no se requieren Yarn Secure Containers, eliminar los permisos de ejecución del binario contenedor-ejecutor, cambiar su propiedad desde la raíz o simplemente eliminarlo mitigará efectivamente la vulnerabilidad.
Referencias: