漏洞详情: CVE-2019-0212

漏洞标题
NVD 暂无描述信息
来源:NVD
Apache Hbase 授权问题漏洞
来源:CNNVD
漏洞描述
In all previously released Apache HBase 2.x versions (2.0.0-2.0.4, 2.1.0-2.1.3), authorization was incorrectly applied to users of the HBase REST server. Requests sent to the HBase REST server were executed with the permissions of the REST server itself, not with the permissions of the end-user. This issue is only relevant when HBase is configured with Kerberos authentication, HBase authorization is enabled, and the REST server is configured with SPNEGO authentication. This issue does not extend beyond the HBase REST server.
来源:NVD
Apache Hbase是美国阿帕奇(Apache)软件基金会的一套构建在Apache Hadoop和Apache ZooKeeper上的面向列的分布式数据库。该数据库适用于非结构化数据存储。 Apache Hbase 2.0.0版本至2.0.4和2.1.0版本至2.1.3版本中存在安全漏洞,该漏洞源于程序没有正确地授权HBase REST服务器用户。攻击者可通过发送请求利用该漏洞以HBase REST服务器权限执行请求。
来源:CNNVD
在所有之前发布的Apache HBase 2.x版本(2.0.0-2.0.4, 2.1.0-2.1.3)中,授权并未正确应用到HBase REST服务器的使用者。向HBase REST服务器发送的请求是根据REST服务器自身的权限执行的,而不是根据最终用户权限执行的。此问题仅在HBase配置为使用Kerberos验证、HBase授权启用以及REST服务器配置为使用SPNEGO验证时有意义。此问题并未扩展到HBase REST服务器之外。
来源:神龙机器人
漏洞评分(CVSS)
NVD 暂无评分
来源:NVD
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:神龙机器人, 准确率:N/A
漏洞类别
NVD 暂无漏洞类别信息
来源:NVD
授权问题
来源:CNNVD
相关链接