CVE-2022-33891 Apache Spark UI 命令注入漏洞

OSCS(开源软件供应链安全社区)推出免费的漏洞、投毒情报订阅服务,社区用户可通过机器人订阅情报信息:https://www.oscs1024.com/?src=https://www.isolves.com/it/aq/wl/2022-07-20/csdn
漏洞概述7月18日,OSCS 监测到 Apache 发布安全公告,修复了一个 Apache Spark UI 中存在的命令注入漏洞 。漏洞编号:CVE-2022-33891,漏洞威胁等级:高危 。
Apache Spark 是美国阿帕奇(Apache)软件基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎 。
如果Apache Spark UI启用了 ACL,则HttpSecurityFilter 中的代码路径允许通过提供任意用户名来模拟执行 。恶意用户能够访问权限检查功能,根据他们的输入构建一个 Unix shell 命令并执行 。攻击者可利用此漏洞任意执行 shell 命令 。
鉴于该漏洞危害较大且 POC 已公开,建议用户尽快自查修复 。
漏洞评级:高危
影响项目:Apache Spark
影响版本:
org.apache.spark:spark-core_2.12@(∞, 3.1.3)
org.apache.spark:spark-core_2.12@[3.2.0, 3.2.2)
org.apache.spark:spark-core_2.13@[3.2.0, 3.2.2)
排查方式:获取 spark 版本,判断其版本是否在 (∞, 3.1.3)、[3.2.0, 3.2.2)、[3.2.0, 3.2.2)范围中
更多漏洞详细信息可进入 OSCS 社区查看:
https://www.oscs1024.com/hd/MPS-2022-19085
处置建议升级 Apache Spark 到 3.1.3、3.2.2 或 3.3.0 或更高版本
参考链接
https://www.oscs1024.com/hd/MPS-2022-19085
https://www.openwall.com/lists/oss-security/2022/07/17/1

【CVE-2022-33891 Apache Spark UI 命令注入漏洞】


    推荐阅读