关键信息 CVE 号码: CVE-2016-3083 漏洞名称: Apache Hive SSL vulnerability 严重性: Important 供应商: The Apache Software Foundation 受影响的版本: - Apache Hive 0.13.x - Apache Hive 0.14.x - Apache Hive 1.0.0 - 1.0.1 - Apache Hive 1.1.0 - 1.1.1 - Apache Hive 1.2.0 - 1.2.1 - Apache Hive 2.0.0 漏洞描述: - Apache Hive (JDBC + HiveServer2) 在设置连接时,客户端在验证服务器证书时未验证证书的通用名称属性。因此,如果一个 JDBC 客户端向服务器发送 SSL 请求,并且该服务器用一个有效的证书(由 CA 颁发但颁发给另一个域名)响应,客户端会认为这是一个有效的证书并完成 SSL 握手。 缓解措施: - 升级到 Apache Hive 1.2.2 对于 1.x 版本,或升级到 Apache Hive 2.0.1 或更高版本对于 2.0.x 版本,或升级到 Apache Hive 2.1.0 或更高版本对于 2.1.x 版本。 发现者: Branden Crawford from Inteco Systems Limited (inetco.com) 相关 JIRA: HIVE-13390 相关 Commit: commit link