Vulnerabilidad en Apache HBase (CVE-2019-0212)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/03/2019
Última modificación:
07/11/2023
Descripción
En todas las versiones anteriormente publicadas de Apache HBase 2.x (2.0.0-2.0.4, 2.1.0-2.1.3), se aplicaba una autorización de manera incorrecta a los usuarios del servidor REST "HBase". Todas las peticiones enviadas al servidor REST "HBase" se ejecutaban con los permisos del propio servidor REST y no con los permisos del usuario final. Este fallo solo es relevante cuando HBase está configurado con una autenticación Kerberos, la autorización HBase se encuentra habilitada y el servidor REST está configurado con una autenticación SPNEGO. Este fallo no va más allá del servidor REST "HBase".
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
6.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:hbase:*:*:*:*:*:*:*:* | 2.0.0 (incluyendo) | 2.0.4 (incluyendo) |
| cpe:2.3:a:apache:hbase:*:*:*:*:*:*:*:* | 2.1.0 (incluyendo) | 2.1.3 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2019/03/27/3
- http://www.securityfocus.com/bid/107624
- https://lists.apache.org/thread.html/519eb0fd45642dcecd9ff74cb3e71c20a4753f7d82e2f07864b5108f%40%3Cdev.drill.apache.org%3E
- https://lists.apache.org/thread.html/66535e15007cda8f9308eec10e12ffe349e0b8b55e56ec6ee02b71d2%40%3Cdev.hbase.apache.org%3E
- https://lists.apache.org/thread.html/b0656d359c7d40ec9f39c8cc61bca66802ef9a2a12ee199f5b0c1442%40%3Cdev.drill.apache.org%3E