Plataforma
java
Componente
org.apache.hive:hive
Corregido en
2.3.3
La vulnerabilidad CVE-2018-1315 es una falla de ejecución remota de código (RCE) que afecta a Apache Hive en versiones hasta la 2.3.2. Un servidor FTP malicioso puede aprovechar esta falla para escribir archivos en ubicaciones arbitrarias dentro del clúster donde se ejecuta el comando. Esta vulnerabilidad no afecta a los usuarios de la línea de comandos de Hive (hive cli) ni a los usuarios del servidor Hive (hiveserver2) ya que HPL/SQL es un script de línea de comandos separado que se invoca de manera diferente.
Un atacante podría explotar esta vulnerabilidad para comprometer un clúster de Apache Hive. Al manipular el servidor FTP utilizado por la instrucción 'COPY FROM FTP', el atacante puede forzar la escritura de archivos en ubicaciones no autorizadas dentro del sistema de archivos del clúster. Esto podría resultar en la ejecución de código malicioso, la modificación de datos sensibles, o incluso el control total del clúster. La falta de verificación de la ubicación de destino del archivo descargado es la causa principal de esta vulnerabilidad, permitiendo la escritura fuera de los límites esperados. Esta situación es similar a otras vulnerabilidades de escritura arbitraria de archivos que pueden llevar a la ejecución de código en el sistema.
CVE-2018-1315 fue publicado el 21 de noviembre de 2018. No se ha reportado su inclusión en el KEV de CISA. No se conocen públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad (RCE) la convierte en un objetivo potencial para explotación. La baja puntuación CVSS (3.7) sugiere una complejidad de explotación relativamente alta, pero la posibilidad de ejecución remota de código siempre representa un riesgo significativo.
Organizations using Apache Hive versions 2.1.0 through 2.3.2, particularly those utilizing the HPL/SQL extension for FTP operations, are at risk. Shared hosting environments where multiple users have access to Hive instances are especially vulnerable, as a compromised user could potentially exploit this vulnerability to affect other users.
• linux / server:
journalctl -u hive -g "COPY FROM FTP"• java / supply-chain:
Inspect HPL/SQL scripts for the use of FTP commands and destination path manipulation. Look for patterns like ftp.get(..., "/arbitrary/path/file.txt").
• generic web:
Monitor Hive logs for unusual file access patterns or errors related to FTP operations. Specifically, look for errors indicating permission denied or file not found when attempting to write to unexpected locations.
disclosure
Estado del Exploit
EPSS
1.03% (77% percentil)
Vector CVSS
La mitigación principal para CVE-2018-1315 es actualizar a Apache Hive versión 2.3.3 o posterior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al servidor FTP utilizado por Hive, asegurándose de que solo fuentes confiables puedan acceder a él. Además, se puede implementar un firewall para limitar el acceso de red a los puertos necesarios para Hive. Como medida temporal, se puede deshabilitar la extensión HPL/SQL si no es esencial. Después de la actualización, verifique la integridad del sistema de archivos y revise los registros de Hive en busca de actividades sospechosas.
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2018-1315 is a vulnerability in Apache Hive versions 2.1.0 to 2.3.2 that allows a malicious FTP server to write files to arbitrary locations on the cluster when using the 'COPY FROM FTP' statement with HPL/SQL.
You are affected if you are using Apache Hive versions 2.1.0 through 2.3.2 and utilize the HPL/SQL extension for FTP operations.
Upgrade Apache Hive to version 2.3.3 or later. If upgrading is not possible, implement strict destination path verification in your HPL/SQL scripts.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's potential for arbitrary file writes makes it a significant risk.
Refer to the Apache Hive security page for details: https://hive.apache.org/security/
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.