Apache HBase 因為遠(yuǎn)程拒絕服務(wù)、發(fā)現(xiàn)信息泄露漏洞和信息完整性出現(xiàn)問題。

受影響的版本有：

HBase 0.98.0 - 0.98.12

HBase 1.0.0 - 1.0.1

HBase 1.1.0

HBase 0.96(受波及了)

邏輯錯誤導(dǎo)致 HBase 最安全的配置部署到 ZooKeeper 上處理其協(xié)調(diào)狀態(tài) 不安全的 ACLs。任何人都可以通過遠(yuǎn)程訪問登錄 ZooKeeper，與此相關(guān)的有 HBase 客戶端將降低甚至是完全不可用。任何連接到 HBase 集群的授權(quán)用戶都可以修改參數(shù)和看到他們本沒有權(quán)限看到的 HBase 數(shù)據(jù)信息。

我們建議 HBase 用戶升級更新他們相對應(yīng)的修補(bǔ)程序版本 (e.g. 0.98.12.1, 1.0.1.1, 1.1.0.1) 以確保能夠?qū)懭胝_的 ACLs 信息。任何這些修補(bǔ)程序都可以升級且為零停機(jī)時間升級 [1] 。因為這個邏輯 bug 能掩蓋一些配置錯誤，我們鼓勵用戶在開始升級過程 [2] 之前驗證部署。

一旦用戶升級到合適的版本，那么用戶必須在 ZooKeeper 客戶端上執(zhí)行一系列的 ZooKeeper 指令。更多關(guān)于使用ZooKeeper 客戶端安全設(shè)置的信息請參考 ZooKeeper 文件[3]。

setAcl /hbase world:anyone:r,sasl:hbase:cdrwa

setAcl /hbase/backup-masters sasl:hbase:cdrwa

setAcl /hbase/draining sasl:hbase:cdrwa

setAcl /hbase/flush-table-proc sasl:hbase:cdrwa

setAcl /hbase/hbaseid world:anyone:r,sasl:hbase:cdrwa

setAcl /hbase/master world:anyone:r,sasl:hbase:cdrwa

setAcl /hbase/meta-region-server world:anyone:r,sasl:hbase:cdrwa

setAcl /hbase/namespace sasl:hbase:cdrwa

setAcl /hbase/online-snapshot sasl:hbase:cdrwa

setAcl /hbase/region-in-transition sasl:hbase:cdrwa

setAcl /hbase/recovering-regions sasl:hbase:cdrwa

setAcl /hbase/replication sasl:hbase:cdrwa

setAcl /hbase/rs sasl:hbase:cdrwa

setAcl /hbase/running sasl:hbase:cdrwa

setAcl /hbase/splitWAL sasl:hbase:cdrwa

setAcl /hbase/table sasl:hbase:cdrwa

setAcl /hbase/table-lock sasl:hbase:cdrwa

setAcl /hbase/tokenauth sasl:hbase:cdrwa

參考：

1: http://hbase.apache.org/book.html#hbase.rolling.upgrade

2: http://hbase.apache.org/book.html#_external_zookeeper_configuration

3: http://s.apache.org/Rgo

via：apache.org