CVE-2023-35701

Versões do Apache Hive de 4.0.0-alpha-1 a 4.0.0

A vulnerabilidade afeta o componente do driver JDBC do Hive e pode potencialmente levar à execução de código arbitrário na máquina/ponto de extremidade em que o driver JDBC (cliente) está em execução. O usuário mal-intencionado deve ter permissões suficientes para especificar/editar URLs JDBC em um ponto de extremidade que utilize o driver JDBC do Hive, e o processo do cliente JDBC deve ser executado sob um usuário com privilégios para explorar totalmente a vulnerabilidade. Um invasor pode configurar um servidor HTTP malicioso e especificar uma URL JDBC apontando para esse servidor. Quando uma conexão JDBC é tentada, o servidor HTTP malicioso pode fornecer uma resposta especial com carga útil personalizada que pode acionar a execução de determinados comandos no cliente JDBC.

Para resolver a vulnerabilidade, atualize para a versão 4.0.0, que corrige o problema. Como solução alternativa temporária, considere restringir o acesso ao componente do driver JDBC do Hive para minimizar o risco de exploração. Evite usar o parâmetro de URL JDBC no endpoint afetado até que a vulnerabilidade seja resolvida.