現在位置: ホーム / セキュリティ ブログ / Apache HadoopのYARN NodeManagerの脆弱性 ( CVE-2016-3086 )

Apache HadoopのYARN NodeManagerの脆弱性 ( CVE-2016-3086 )

01/10/2017に、Apache HadoopのYARN NodeManagerの脆弱性 ( CVE-2016-3086 )が公開されました。今回は、この脆弱性の簡単な説明と各ディストリビューションの対応状況をまとめてみます。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

01/10/2017に、Apache HadoopのYARN NodeManagerの脆弱性 ( CVE-2016-3086 )が公開されました。今回は、この脆弱性の簡単な説明と各ディストリビューションの対応状況をまとめてみます。



Priority

Important

影響するバージョン

Hadoop 2.6.0, 2.6.1, 2.6.2, 2.6.3, 2.6.4

Hadoop 2.7.0, 2.7.1, 2.7.2

修正方法

一次情報源と各ディストリビューションの情報を確認してください。

CVE概要(詳細は一次情報源のサイトをご確認ください)

  • CVE-2016-3086
    • YARN NodeManagerによるCredential Providerからのパスワード漏洩の可能性

    • 重要度 - Important

    • 2.6.4/2.7.2より前のYARN NodeManagerに問題が有り、Credential Providerに格納されたパスワードが漏洩する可能性が有ります。


主なディストリビューションの脆弱性情報・アップデート情報

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。

Red Hat Satelliteを用いた一般的なErattaの適用は、『Red Hat Satellite 6でerrataを適用してみる』を 参考にして下さい。

[参考]

https://qnalist.com/questions/7938883/security-cve-2016-3086-apache-hadoop-yarn-nodemanager-vulnerability

OSSに関するお困りごとは サイオス OSSよろず相談室まで

サイオスOSSよろず相談室 では、OSSを利用する中で発生する問題に対し、長年培ってきた技術力・サポート力をもって企業のOSS活用を強力に支援します。Red Hat Enterprise Linux のほか、CentOS をご利用されている環境でのサポートも提供いたします。

OSSよろず相談室

サイオスOSSよろず相談室(2)

問い合わせボタン