CVE-2017-15718
https://notcve.org/view.php?id=CVE-2017-15718
The YARN NodeManager in Apache Hadoop 2.7.3 and 2.7.4 can leak the password for credential store provider used by the NodeManager to YARN Applications. El YARN NodeManager en Apache Hadoop 2.7.3 y 2.7.4 puede filtrar la contraseña del proveedor de almacén de contraseñas utilizado por el NodeManager en aplicaciones YARN. • https://lists.apache.org/thread.html/773c93c2d8a6a52bbe97610c2b1c2ad205b970e1b8c04fb5b2fccad6%40%3Cgeneral.hadoop.apache.org%3E •
CVE-2017-15713
https://notcve.org/view.php?id=CVE-2017-15713
Vulnerability in Apache Hadoop 0.23.x, 2.x before 2.7.5, 2.8.x before 2.8.3, and 3.0.0-alpha through 3.0.0-beta1 allows a cluster user to expose private files owned by the user running the MapReduce job history server process. The malicious user can construct a configuration file containing XML directives that reference sensitive files on the MapReduce job history server host. Vulnerabilidad en Apache Hadoop 0.23.x, 2.x en versiones anteriores a la 2.7.5, 2.8.x en versiones anteriores a la 2.8.3 y 3.0.0-alpha hasta la versión 3.0.0-beta1 permite que un usuario del clúster exponga archivos privados en propiedad del usuario que ejecuta el proceso del servidor de historial de jobs MapReduce. El usuario malicioso puede construir un archivo de configuración que contiene directivas XML que referencian archivos sensibles en el host del servidor de historial de jobs MapReduce. • https://lists.apache.org/thread.html/a790a251ace7213bde9f69777dedb453b1a01a6d18289c14a61d4f91%40%3Cgeneral.hadoop.apache.org%3E • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2017-3166
https://notcve.org/view.php?id=CVE-2017-3166
In Apache Hadoop versions 2.6.1 to 2.6.5, 2.7.0 to 2.7.3, and 3.0.0-alpha1, if a file in an encryption zone with access permissions that make it world readable is localized via YARN's localization mechanism, that file will be stored in a world-readable location and can be shared freely with any application that requests to localize that file. En Apache Hadoop, en versiones 2.6.1 a 2.6.5, 2.7.0 a 2.7.3 y 3.0.0-alpha1, si un archivo en una zona de cifrado con permisos de acceso que lo hacen legible para todos los usuarios se localiza mediante el mecanismo de localización de YARN, ese archivo será almacenado en una localización legible por todos los usuarios y puede ser compartido libremente con cualquier aplicación que solicite localizar ese archivo. • https://lists.apache.org/thread.html/2e16689b44bdd1976b6368c143a4017fc7159d1f2d02a5d54fe9310f%40%3Cgeneral.hadoop.apache.org%3E https://lists.apache.org/thread.html/9317fd092b257a0815434b116a8af8daea6e920b6673f4fd5583d5fe%40%3Ccommits.druid.apache.org%3E • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVE-2012-4449
https://notcve.org/view.php?id=CVE-2012-4449
Apache Hadoop before 0.23.4, 1.x before 1.0.4, and 2.x before 2.0.2 generate token passwords using a 20-bit secret when Kerberos security features are enabled, which makes it easier for context-dependent attackers to crack secret keys via a brute-force attack. Apache Hadoop en versiones anteriores a la 0.23.4, las versiones 1.x anteriores a la 1.0.4 y las versiones 2.x anteriores a la 2.0.2 genera contraseñas token empleando un secreto de 20 bits cuando las características de seguridad de Kerberos están habilitadas. Esto permite que atacantes dependientes del contexto descubran las claves secretas mediante un ataque de fuerza bruta. • http://mail-archives.apache.org/mod_mbox/hadoop-general/201210.mbox/%3CCA+z3+9FYdPmzBEaMZ71SUqzRx=eU=o4mSHUsbrpzgR9X_F1c0Q%40mail.gmail.com%3E https://www.cloudera.com/documentation/other/security-bulletins/topics/csb_topic_1.html#topic_1_0 • CWE-327: Use of a Broken or Risky Cryptographic Algorithm •
CVE-2016-3086
https://notcve.org/view.php?id=CVE-2016-3086
The YARN NodeManager in Apache Hadoop 2.6.x before 2.6.5 and 2.7.x before 2.7.3 can leak the password for credential store provider used by the NodeManager to YARN Applications. YARN NodeManager en Apache Hadoop en versiones 2.6.x anteriores a la 2.6.5 y 2.7.x anteriores a la 2.7.3 puede filtrar la contraseña del proveedor de almacén de contraseñas utilizado por el NodeManager en aplicaciones YARN. • http://mail-archives.apache.org/mod_mbox/hadoop-general/201701.mbox/%3C0ed32746-5a53-9051-5877-2b1abd88beb6%40apache.org%3E http://www.securityfocus.com/bid/95335 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •