CVE-2017-3162
https://notcve.org/view.php?id=CVE-2017-3162
HDFS clients interact with a servlet on the DataNode to browse the HDFS namespace. The NameNode is provided as a query parameter that is not validated in Apache Hadoop before 2.7.0. Vulnerabilidad en HDFS de Hadoop en versiones anteriores a la 2.7.0, a través de la cual clientes de HDFS podrían interactuar con un servlet en el DataNode para poder explorar el espacio de nombres HDFS. El NameNode se proporcionaría como un parámetro de consulta que no estaría validado en las versiones mencionadas de Apache Hadoop. • http://www.securityfocus.com/bid/98017 https://lists.apache.org/thread.html/r127f75748fcabc63bc5a1bec6885753eb9b2bed803b6ed7bd46f965b%40%3Cuser.hadoop.apache.org%3E https://lists.apache.org/thread.html/r66de86b9a608c1da70b2d27d765c11ec88edf6e5dd6f379ab33e072a%40%3Cuser.flink.apache.org%3E https://s.apache.org/k2ss • CWE-20: Improper Input Validation •
CVE-2016-6811
https://notcve.org/view.php?id=CVE-2016-6811
In Apache Hadoop 2.x before 2.7.4, a user who can escalate to yarn user can possibly run arbitrary commands as root user. En Apache Hadoop en versiones 2.x anteriores a la 2.7.4, un usuario que pueda escalar a usuario yarn podría ejecutar comandos arbitrarios como usuario root. • https://lists.apache.org/thread.html/9ba3c12bbdfd5b2cae60909e48f92608e00c8d99196390b8cfeca307%40%3Cgeneral.hadoop.apache.org%3E • CWE-264: Permissions, Privileges, and Access Controls •
CVE-2014-0229
https://notcve.org/view.php?id=CVE-2014-0229
Apache Hadoop 0.23.x before 0.23.11 and 2.x before 2.4.1, as used in Cloudera CDH 5.0.x before 5.0.2, do not check authorization for the (1) refreshNamenodes, (2) deleteBlockPool, and (3) shutdownDatanode HDFS admin commands, which allows remote authenticated users to cause a denial of service (DataNodes shutdown) or perform unnecessary operations by issuing a command. Apache Hadoop 0.23.x en versiones anteriores a 0.23.11 y 2.x en versiones anteriores a 2.4.1, como se utiliza en Cloudera CDH 5.0.x en versiones anteriores a 5.0.2, no verifica la autorización para los comandos de administración HDFS (1) refreshNamenodes, (2) deleteBlockPool y (3) ShutdownDatanode, lo que permite a usuarios remotos autenticados provocar una denegación de servicio (cierre de DataNodes) o realizar operaciones innecesarias emitiendo un comando. • https://www.cloudera.com/documentation/other/security-bulletins/topics/csb_topic_1.html#concept_i1q_xvk_2r • CWE-264: Permissions, Privileges, and Access Controls •
CVE-2015-7430
https://notcve.org/view.php?id=CVE-2015-7430
The Hadoop connector 1.1.1, 2.4, 2.5, and 2.7.0-0 before 2.7.0-3 for IBM Spectrum Scale and General Parallel File System (GPFS) allows local users to read or write to arbitrary GPFS data via unspecified vectors. El conector Hadoop 1.1.1, 2.4, 2.5 y 2.7.0-0 en versiones anteriores a 2.7.0-3 para IBM Spectrum Scale y General Parallel File System (GPFS) permite a usuarios locales leer o escribir datos GPFS arbitrarios a través de vectores no especificados. • http://www-01.ibm.com/support/docview.wss?uid=isg3T1022979 • CWE-264: Permissions, Privileges, and Access Controls •
CVE-2014-3627
https://notcve.org/view.php?id=CVE-2014-3627
The YARN NodeManager daemon in Apache Hadoop 0.23.0 through 0.23.11 and 2.x before 2.5.2, when using Kerberos authentication, allows remote cluster users to change the permissions of certain files to world-readable via a symlink attack in a public tar archive, which is not properly handled during localization, related to distributed cache. El demonio YARN NodeManager en Apache Hadoop 0.23.0 hasta 0.23.11 y 2.x anterior a 2.5.2, cuando utiliza la autenticación Kerberos, permite a usuarios remotos de clúster cambiar los permisos de ciertos ficheros a de lectura universal a través de un ataque de enlace simbólico en un archivo tar público, lo que no se maneja correctamente durante la localización, relacionado con un caché distribuido. • http://mail-archives.apache.org/mod_mbox/hadoop-general/201411.mbox/%3CCALwhT97dOi04aC3VbekaB+zn2UAS_OZV2EAiP78GmjnMzfp2Ug%40mail.gmail.com%3E http://secunia.com/advisories/60079 http://secunia.com/advisories/60432 • CWE-59: Improper Link Resolution Before File Access ('Link Following') •