Hive内置函数任意代码执行漏洞
CVE编号
CVE-2016-0760利用情况
暂无补丁情况
N/A披露时间
2016-08-20漏洞描述
hive是基于Hadoop的一个数据仓库工具,可以将结构化的数据文件映射为一张数据库表,并提供简单的sql查询功能,可以将sql语句转换为MapReduce任务进行运行。 Hive中'reflect”,“reflect2”和“java_method”函数存在任意代码执行漏洞,一些通过身份认证的攻击者可能会利用这些函数用于恶意目的。解决建议
目前该漏洞已在版本1.7.0中修复,厂商已发布更新版本,详情请关注厂商主页或有关网址:http://hive.apache.org/
参考链接 |
|
|---|---|
| http://mail-archives.apache.org/mod_mbox/sentry-dev/201608.mbox/%3CCACMN7ixDq... | |
| http://www.securityfocus.com/bid/92328 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | apache | sentry | 1.5.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | apache | sentry | 1.6.0 | - | |||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 低
- 影响范围 未更改
- 用户交互 无
- 可用性 高
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-284 | 访问控制不恰当 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论