Vulnerabilidad en Apache Hadoop (CVE-2023-26031)

La resolución relativa de la librería en el binario contenedor-ejecutor de Linux en Apache Hadoop 3.3.1-3.3.4 en Linux permite al usuario local obtener privilegios de root. Si el clúster YARN acepta trabajo de usuarios remotos (autenticados), esto PUEDE permitir que los usuarios remotos obtengan privilegios de root. Hadoop 3.3.0 actualizó " YARN Secure Containers https://hadoop.apache.org/docs/stable/hadoop-yarn/hadoop-yarn-site/SecureContainer.html " para agregar una función para ejecutar aplicaciones enviadas por el usuario de forma aislada contenedores de Linux. El binario nativo HADOOP_HOME/bin/container-executor se utiliza para lanzar estos contenedores; debe ser propiedad de root y tener el bit suid configurado para que los procesos YARN ejecuten los contenedores como los usuarios específicos que envían los trabajos. El parche "YARN-10495 https://issues.apache.org/jira/browse/YARN-10495. make the rpath of container-executor configurable" modificó la ruta de carga de la librería para cargar archivos .so de "$ORIGIN/" a ""$ORIGIN/:../lib/native/". Esta es la ruta a través de la cual se encuentra libcrypto.so. Por lo tanto, es posible que un usuario con privilegios reducidos instale una librería libcrypto maliciosa en una ruta a la que tienen acceso de escritura, invocan el comando contenedor-ejecutor y ejecutan su librería modificada como root. Si el clúster YARN acepta trabajo de usuarios remotos (autenticados) y el trabajo enviado por estos usuarios se ejecuta en el host físico, en lugar de un contenedor, entonces el CVE permite a los usuarios remotos obtener privilegios de root. La solución para la vulnerabilidad es revertir el cambio, lo cual se realiza en YARN-11441 https://issues.apache.org/jira/browse/YARN-11441, "Revertir YARN-10495". Este parche está en hadoop-3.3.5. Para determinar si una versión de container-executor es vulnerable, utilice el comando readelf. Si el valor RUNPATH o RPATH contiene la ruta relativa "./lib/native/", entonces está en riesgo $ readelf -d container-executor|grep 'RUNPATH\|RPATH' 0x0000000000000001d (RUNPATH) Ruta de ejecución de la librería: [$ORIGIN/: ../lib/native/] Si no es así, entonces es seguro: $ readelf -d container-executor|grep 'RUNPATH\|RPATH' 0x000000000000001d (RUNPATH) Ruta de ejecución de la librería: [$ORIGIN/] Para un sitio en riesgo versión de container-executor para habilitar la escalada de privilegios, el propietario debe ser root y el bit suid debe estar configurado $ ls -laF /opt/hadoop/bin/container-executor ---Sr-s---. 1 root hadoop 802968 9 de mayo 20:21 /opt/hadoop/bin/container-executor Una instalación segura carece del bit suid; Lo ideal es que tampoco sea propiedad de root. $ ls -laF /opt/hadoop/bin/container-executor -rwxr-xr-x. 1 hilo hadoop 802968 9 de mayo 20:21 /opt/hadoop/bin/container-executor Esta configuración no admite Contenedores Seguros Yarn, pero todos los demás servicios de hadoop, incluida la ejecución de trabajos YARN fuera de contenedores seguros, continúan funcionando.