Vulnerabilidad en Apache Impala (incubating) (CVE-2017-9792)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

04/10/2017

Última modificación:

20/04/2025

Descripción

En Apache Impala (incubating) en versiones anteriores a a la 2.10.0, un usuario malicioso con permisos ALTER en una tabla Impala puede acceder a datos de una tabla Kudu alterando las propiedades de la tabla para hacerla "externa" y cambiando luego el mapeado de la tabla subyacente para que apunte a otras tablas Kudu. Esto no cumple con el requisito de autorización de que se necesita el privilegio ALL en el lado del servidor para crear una tabla Kudu externa mediante Impala. Este requisito de privilegio para los comandos CREATE se garantiza para precisamente evitar esta situación en donde un usuario malicioso puede cambiar el mapeo de las tablas Kudu subyacentes. La solución es asegurarse de que hay el mismo requisito de privilegio para los comandos ALTER que haría que las tablas Kudu no externas se vuelvan externas.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:L/Au:S/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.00 MEDIA
Vector: AV:N/AC:L/Au:S/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno