Plataforma
java
Componente
org.apache.hive:hive
Corrigido em
2.3.3
A vulnerabilidade CVE-2018-1315 afeta o Apache Hive nas versões 2.1.0 até 2.3.2. Ela permite que um servidor FTP malicioso cause a escrita de arquivos em locais arbitrários no cluster, explorando a falta de verificação do destino do arquivo durante a operação 'COPY FROM FTP' utilizando a extensão HPL/SQL. A correção está disponível na versão 2.3.3 do Apache Hive, e a aplicação de medidas de mitigação é recomendada para usuários que não podem atualizar imediatamente.
Um atacante pode explorar essa vulnerabilidade para comprometer a integridade do sistema, sobrescrevendo arquivos críticos no cluster Apache Hive. Isso pode levar à perda de dados, interrupção do serviço ou até mesmo à execução de código malicioso no sistema. A falta de validação do caminho de destino do arquivo durante a operação 'COPY FROM FTP' permite que um servidor FTP comprometido direcione a escrita para qualquer local acessível pelo usuário que executa o comando. A extensão HPL/SQL, que facilita a exploração, precisa ser invocada de forma específica, limitando o impacto a usuários que utilizam essa funcionalidade.
A vulnerabilidade foi divulgada em 21 de novembro de 2018. Não há evidências públicas de exploração ativa em campanhas direcionadas, mas a disponibilidade de um vetor de ataque remoto e a facilidade de exploração tornam a vulnerabilidade um alvo potencial. Não foi adicionada ao KEV (Know Exploited Vulnerabilities) da CISA até o momento. A ausência de um PoC público amplamente divulgado pode indicar um nível de risco menor, mas a mitigação proativa é sempre recomendada.
Organizations using Apache Hive versions 2.1.0 through 2.3.2, particularly those utilizing the HPL/SQL extension for FTP operations, are at risk. Shared hosting environments where multiple users have access to Hive instances are especially vulnerable, as a compromised user could potentially exploit this vulnerability to affect other users.
• linux / server:
journalctl -u hive -g "COPY FROM FTP"• java / supply-chain:
Inspect HPL/SQL scripts for the use of FTP commands and destination path manipulation. Look for patterns like ftp.get(..., "/arbitrary/path/file.txt").
• generic web:
Monitor Hive logs for unusual file access patterns or errors related to FTP operations. Specifically, look for errors indicating permission denied or file not found when attempting to write to unexpected locations.
disclosure
Status do Exploit
EPSS
1.03% (percentil 77%)
Vetor CVSS
A mitigação primária é atualizar o Apache Hive para a versão 2.3.3 ou superior, que corrige a vulnerabilidade. Para usuários que não podem atualizar imediatamente, é crucial restringir o acesso ao servidor FTP e implementar controles de acesso rigorosos no sistema de arquivos. Considere a utilização de um firewall para bloquear o tráfego de FTP não autorizado. Além disso, revise e restrinja as permissões do usuário que executa o comando 'COPY FROM FTP' para minimizar o impacto potencial de uma exploração bem-sucedida. Após a atualização, confirme a correção verificando os logs do Hive em busca de tentativas de escrita arbitrária.
Nenhum patch oficial disponível. Procure alternativas ou monitore atualizações.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2018-1315 is a vulnerability in Apache Hive versions 2.1.0 to 2.3.2 that allows a malicious FTP server to write files to arbitrary locations on the cluster when using the 'COPY FROM FTP' statement with HPL/SQL.
You are affected if you are using Apache Hive versions 2.1.0 through 2.3.2 and utilize the HPL/SQL extension for FTP operations.
Upgrade Apache Hive to version 2.3.3 or later. If upgrading is not possible, implement strict destination path verification in your HPL/SQL scripts.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's potential for arbitrary file writes makes it a significant risk.
Refer to the Apache Hive security page for details: https://hive.apache.org/security/
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.