Phát hiện 3 lỗ hổng bảo mật nghiêm trọng trong Apache Ambari

10:00 | 17/02/2025 | TIN TỨC SẢN PHẨM

Apache Software Foundation (Hoa Kỳ) vừa phát hiện 3 lỗ hổng nghiêm trọng trong Apache Ambari, nền tảng phổ biến dùng để quản lý các cụm Hadoop một hệ thống mã nguồn mở để lưu trữ và xử lý dữ liệu lớn trên các cụm máy tính phân tán. Những lỗ hổng này có thể khiến hệ thống dễ bị tấn công thực thi mã từ xa và rò rỉ dữ liệu nhạy cảm.

Phát hiện 3 lỗ hổng bảo mật nghiêm trọng trong Apache Ambari

Các lỗ hổng có mã định danh CVE-2025-23195, CVE-2025-23196 và CVE-2024-51941, ảnh hưởng đến nhiều phiên bản và thành phần khác nhau trong Apache Ambari.

Lỗ hổng thứ nhất có định danh CVE-2025-23195. Đây là lỗ hổng XML External Entity (XXE) nằm trong tích hợp Ambari/Oozie. Kẻ tấn công có thể khai thác lỗ hổng này để đọc các tệp tùy ý trên máy chủ, làm lộ dữ liệu cấu hình nhạy cảm hoặc thông tin người dùng. Ngoài ra, nếu khai thác thành công, lỗ hổng này có thể dẫn đến các cuộc tấn công Server-Side Request Forgery (SSRF), cho phép kẻ tấn công tương tác với các dịch vụ nội bộ và tiếp tục xâm phạm hệ thống.

Lỗ hổng thứ hai có định danh CVE-2025-23196. Đây là lỗ hổng code injection trong tính năng Alert Definition của Ambari. Lỗ hổng này cho phép kẻ tấn công đã xác thực thực thi các lệnh shell tùy ý trên máy chủ, dẫn đến việc chiếm quyền kiểm soát hệ thống, đánh cắp dữ liệu và làm gián đoạn các dịch vụ quan trọng.

Lỗ hổng cuối cùng định danh CVE-2024-51941. Đây là lỗ hổng code injection khác được tìm thấy trong tính năng Ambari Metrics and AMS Alerts. Tương tự như CVE-2025-23196, lỗ hổng này cũng cho phép kẻ tấn công đã xác thực thực thi các lệnh shell tùy ý, gây nguy cơ cao đối với tính an toàn và bảo mật của hệ thống.

Apache Software Foundation đã khắc phục các lỗ hổng này trong các phiên bản mới nhất. Người dùng được khuyến cáo nên nâng cấp lên phiên bản 2.7.9 hoặc mới hơn để tránh các rủi ro đáng tiếc.

M.H

‹ › ×

Tin liên quan

Apache NiFi tồn tại lỗ hổng cho phép truy cập trái phép thông tin nhạy cảm

09:00 | 08/01/2025

Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.

Lỗ hổng nghiêm trọng trong Apache Ignite cho phép thực thi mã từ xa

14:00 | 04/03/2025

Mới đây, một lỗ hổng có mã định danh CVE-2024-52577 có khả năng thực thi mã từ xa đã được phát hiện trong Apache Ignite, một cơ sở dữ liệu phân tán mã nguồn mở phổ biến dành cho điện toán hiệu năng cao.

Lỗ hổng nghiêm trọng ảnh hưởng tới người dùng Apache Fineract

09:00 | 24/02/2025

Mới đây, một lỗ hổng nghiêm trọng định danh CVE-2024-32838 có đểm CVSS 9,4 được phát hiện trong Apache Fineract, nền tảng mã nguồn mở phổ biến được sử dụng để xây dựng hệ thống ngân hàng lõi cho các dịch vụ tài chính số.

Apache sửa lỗi bỏ qua thực thi mã từ xa trong máy chủ web Tomcat

10:00 | 31/12/2024

Apache đã phát hành bản cập nhật bảo mật để giải quyết lỗ hổng quan trọng trong máy chủ web Tomcat có thể khiến kẻ tấn công thực thi mã từ xa.

Cập nhật bản vá lỗ hổng bảo mật tháng 2

15:00 | 06/03/2025

Trong tháng 2, Microsoft, Adobe và SAP đã phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.

CISA cảnh báo về lỗ hổng Apache HugeGraph-Server đang bị khai thác

13:00 | 30/09/2024

Cơ quan Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã thêm 5 lỗ hổng vào danh mục Các lỗ hổng đã biết bị khai thác (KEV), trong đó có lỗ hổng thực thi mã từ xa (RCE) ảnh hưởng đến Apache HugeGraph-Server.

Tin cùng chuyên mục

Foxconn ra mắt mô hình ngôn ngữ lớn đầu tiên

09:00 | 12/03/2025

Ngày 10/3, Foxconn cho biết công ty đã ra mắt mô hình ngôn ngữ lớn đầu tiên và có kế hoạch sử dụng công nghệ này để cải thiện quản lý sản xuất và chuỗi cung ứng.

Google có nguy cơ đối mặt với vụ kiện về quyền riêng tư trên điện thoại

09:00 | 02/02/2025

Trong quyết định công bố hôm đầu tháng một, tòa án liên bang tại San Francisco đã bác bỏ lập luận của Google. Theo đó, gã khổng lồ công nghệ này có nguy cơ đối mặt với vụ kiện về quyền riêng tư trên điện thoại.

Liên minh châu Âu phạt Meta 263 triệu USD vì sự cố bảo mật năm 2017

08:00 | 22/12/2024

Do để lộ thông tin cá nhân của hàng triệu người dùng trong sự cố bảo mật năm 2017, Meta bị Liên minh châu Âu đưa ra án phạt với số tiền lên tới 251 triệu EUR (tương đương 263 triệu USD).

Google trình làng chip điện toán lượng tử mới

15:00 | 13/12/2024

Ngày 9/12, Google ra mắt một con chip máy tính lượng tử mới, được mô tả chỉ mất vài phút để hoàn thành các tác vụ mà một số máy tính nhanh nhất thế giới phải mất 10 triệu tỷ tỷ năm mới có thể hoàn thành. Đây là bước đột phá có thể đưa điện toán lượng tử thực tiễn đến gần hơn với hiện thực.