OSCS(开源软件供应链安全社区)推出免费的漏洞、投毒情报订阅服务,社区用户可通过机器人订阅情报信息:https://www.oscs1024.com/?src=https://www.isolves.com/it/aq/wl/2022-07-20/csdn漏洞概述7月18日,OSCS 监测到 Apache 发布安全公告,修复了一个 Apache Spark UI 中存在的命令注入漏洞 。漏洞编号:CVE-2022-33891,漏洞威胁等级:高危 。
Apache Spark 是美国阿帕奇(Apache)软件基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎 。
如果Apache Spark UI启用了 ACL,则HttpSecurityFilter 中的代码路径允许通过提供任意用户名来模拟执行 。恶意用户能够访问权限检查功能,根据他们的输入构建一个 Unix shell 命令并执行 。攻击者可利用此漏洞任意执行 shell 命令 。
鉴于该漏洞危害较大且 POC 已公开,建议用户尽快自查修复 。
漏洞评级:高危
影响项目:Apache Spark
影响版本:
org.apache.spark:spark-core_2.12@(∞, 3.1.3)
org.apache.spark:spark-core_2.12@[3.2.0, 3.2.2)
org.apache.spark:spark-core_2.13@[3.2.0, 3.2.2)
排查方式:获取 spark 版本,判断其版本是否在 (∞, 3.1.3)、[3.2.0, 3.2.2)、[3.2.0, 3.2.2)范围中
更多漏洞详细信息可进入 OSCS 社区查看:
https://www.oscs1024.com/hd/MPS-2022-19085处置建议升级 Apache Spark 到 3.1.3、3.2.2 或 3.3.0 或更高版本
参考链接
https://www.oscs1024.com/hd/MPS-2022-19085
https://www.openwall.com/lists/oss-security/2022/07/17/1
【CVE-2022-33891 Apache Spark UI 命令注入漏洞】
推荐阅读
- 分布式存储系统Apache HBase的现状和发展
- Apache Tomcat如何高并发处理请求
- Apache Dubbo 3.0.5 发布,分布式 RPC 服务框架
- windows下安装php+apache的运行环境,并把apache单独注册为服务
- apache-4-请求头和响应头
- 使用IDEA搭建Spark源码阅读环境
- 实时计算框架:Spark集群搭建与入门案例
- 苹果|售价高达568元!苹果官网上架HidrateSpark STEEL智能保温杯
- 杰哥教你Linux Linux安装部署Apache
- SparkSQL的3种Join实现