В Apache Hadoop, свободной платформе для организации распределённой обработки больших объёмов данных, выявлена критическая уязвимость (CVE-2016-5393), позволяющая злоумышленнику, аутентифицированному в HDFS NameNode, выполнить произвольный код c правами сервиса HDFS. Проблема устранена в выпусках Apache Hadoop 2.7.3 и 2.6.5, которые были опубликованы в августе и октябре (во время релизов, явно не было упомянуто об исправлении уязвимости). Уязвимость вызвана отсутствием экранирования спецсимволов при запуске команд через shell.

opennet.ru