Vulnerabilidad en Apache Impala (CVE-2017-5652)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-319 Transmisión de información sensible en texto claro

Fecha de publicación:

10/07/2017

Última modificación:

20/04/2025

Descripción

Durante un análisis de seguridad, fue encontrado que uno de los puerto de Apache Impala 2.7.0 a 2.8.0 envía datos en texto plano incluso cuando esta configurado para usar TLS. El puerto en cuestión fue usado por la clase StatestoreSuscriber la cual no usa de forma segura el ahorro de transport cuando el TLS es encendido. Entonces es posible para un adversario, con acceso a la red, espiar los paquetes que van y vienen del puerto y ver los datos en texto plano.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno