PT-2024-6668 · Apache · Apache Hadoop

Andrea Cosentino

·

Publicado

2024-09-24

·

Atualizado

2026-05-18

·

CVE-2024-23454

CVSS v3.1

6.2

Média

VetorAV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas:
Versões do Apache Hadoop anteriores à 3.4.0
Descrição:
O problema está relacionado à função RunJar.run() no Apache Hadoop, que não define permissões para o diretório temporário por padrão. Isso permite que outros usuários locais visualizem dados confidenciais gravados nesse diretório, uma vez que o diretório temporário do sistema é compartilhado entre todos os usuários locais em sistemas do tipo Unix.
Recomendações:
Para versões do Apache Hadoop anteriores à 3.4.0, atualize para a versão 3.4.0 ou posterior para resolver o problema. Como solução temporária, considere definir explicitamente as permissões POSIX corretas para o diretório temporário, a fim de impedir o acesso não autorizado. Restrinja o acesso aos dados confidenciais gravados no diretório temporário até que o problema seja resolvido.

Correção

Improper Privilege Management

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-269CWE-378

Identificadores relacionados

BDU:2024-07870
CLEANSTART-2026-JU62349
CLEANSTART-2026-SQ91016
CLEANSTART-2026-SV95049
CLEANSTART-2026-WK99982
CVE-2024-23454
GHSA-F5FW-25GW-5M92
OESA-2024-2347
OESA-2024-2348
OESA-2024-2349
OESA-2024-2350
OESA-2024-2351
OESA-2025-1038

Produtos afetados

Apache Hadoop