Apache Hadoop Jetty XSS
medium Nessus Plugin ID 55975
語系:
概要
遠端 web 伺服器存有跨網站指令碼弱點。說明
遠端主機上執行的 Apache Hadoop 版本存有一個跨網站指令碼弱點。這是由於基礎 web 伺服器 Jetty 中的錯誤所致。Jetty 顯示目錄清單時,可以在頁面中插入任意文字。這會影響使用 Jetty web 伺服器的所有 Hadoop 元件。遠端攻擊者可誘騙使用者提出惡意製作的要求來利用此弱點,藉此執行任意指令碼。
此版本的 Hadoop 可能還有其他安全性弱點,不過 Nessus 並未針對這些問題進行檢查。
解決方案
升級至 Hadoop 0.20.203.0 或更新的穩定版本。另請參閱
https://issues.apache.org/jira/browse/HADOOP-6882
http://hadoop.apache.org/common/docs/r0.20.203.0/releasenotes.html
Plugin 詳細資訊
嚴重性: Medium
ID: 55975
檔案名稱: hadoop_jetty_xss.nasl
版本: 1.7
類型: remote
系列: CGI abuses : XSS
已發布: 2011/8/24
已更新: 2021/1/19
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.6
CVSS v2
風險因素: Medium
基本分數: 4.3
時間分數: 3.7
媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
弱點資訊
CPE: cpe:/a:apache:hadoop
可輕鬆利用: No exploit is required
修補程式發佈日期: 2011/5/11
弱點發布日期: 2009/4/29
可惡意利用
Core Impact
參考資訊
CVE: CVE-2009-1524
BID: 34800
CWE: 79