【NB安全报】Apache Spark shell 命令注入漏洞
Apache Spark shell 命令注入漏洞(CVE-2022-33891)风险通告漏洞描述:
Apache Spark于 7 月 18 日发布了最新的安全公告,其中包含一个 shell 命令注入漏洞(CVE-2022-33891)。
Apache Spark UI 提供了通过配置选项 spark.acls.enable 启用 ACL 的可能性。使用身份验证过滤器,这将检查用户是否具有查看或修改应用程序的访问权限。
如果启用了 ACL,则HttpSecurityFilter中的代码路径可以允许某人通过提供任意用户名来执行模拟。恶意用户可能能够访问权限检查功能,该功能最终将根据他们的输入构建一个 Unix shell 命令并执行它。这将导致任意 shell 命令执行,因为用户 Spark 当前正在运行。
Spark 是用于大规模数据处理的统一分析引擎。它提供了 Scala、Java、Python 和 R 中的高级 API,以及支持用于数据分析的通用计算图的优化引擎。
漏洞编号:
CVE-2022-33891
漏洞等级:
重要级,CVSS评分暂未给出
受影响的版本:
Apache Spark <= 3.0.3
Apache Spark 3.1.1 到 3.1.2
以及Apache Spark 3.2.0 到 3.2.1
安全版本:
升级到受支持的 Apache Spark 3.1.3、3.2.2、3.3.0 或更高版本。
官方下载链接: **** Hidden Message *****
http://cdn.u1.huluxia.com/g4/M02/55/DD/rBAAdmLXfxGAPD89AAO4_BHsxHw476.pnghttp://cdn.u1.huluxia.com/g4/M02/55/DD/rBAAdmLXfxKAJ2v4AAN5DQ32MOc719.jpg 无论是不是沙发都得回复下 楼下的接上 路过 帮顶 嘿嘿 村长敢整点更有创意的不?兄弟们等着围观捏~
页:
[1]