微软Azure HDInsight安全漏洞通报

关键要点

• 微软Azure HDInsight中的Apache Hadoop、Kafka和Spark服务存在三个安全漏洞。
• 这些漏洞源于Apache Ambari和Oozie软件，已在2023年10月的更新中得到修复。
• 攻击者可利用高严重性漏洞进行特权提升和服务拒绝攻击。
• Orca报告提到，Oozie的ReDoS漏洞是由于缺乏适当的输入验证。

近日，微软Azure HDInsight被发现其第三方服务ApacheHadoop、Kafka和Spark受到了三项安全漏洞的影响。根据的报道，这些漏洞源于ApacheAmbari和Oozie软件，微软已经在2023年10月发布的更新中进行了修复。

上述安全漏洞包括Apache Oozie工作流调度器的XML外部实体注入漏洞和ApacheAmbari的Java数据库连接注入漏洞，分别被追踪为CVE-2023-36149和CVE-2023-38156。这些漏洞可能被攻击者利用，从而提升其特权。此外，另一个尚未获得CVE编号的ApacheOozie漏洞可能被用于实现正则表达式拒绝服务（ReDoS）情况并导致系统中断，正如Orca的报告所述。

“Apache Oozie上的ReDoS漏洞是由于缺乏适当的输入验证和约束执行造成的，攻击者可以请求大量的操作ID，导致复杂的循环操作，从而引发服务拒绝（DoS）。”研究人员Lidor Ben Shitrit表示。

以下是关于每项漏洞的详细信息：

在保持系统安全的同时，用户应及时更新其Azure HDInsight以防止这些漏洞带来的风险。