【NB安全报】Apache Spark shell 命令注入漏洞

[复制链接]
查看570 | 回复4 | 2022-8-4 23:59:52 | 显示全部楼层 |阅读模式
Apache Spark shell 命令注入漏洞(CVE-2022-33891)风险通告

漏洞描述:
Apache Spark于 7 月 18 日发布了最新的安全公告,其中包含一个 shell 命令注入漏洞(CVE-2022-33891)。
Apache Spark UI 提供了通过配置选项 spark.acls.enable 启用 ACL 的可能性。使用身份验证过滤器,这将检查用户是否具有查看或修改应用程序的访问权限。
如果启用了 ACL,则HttpSecurityFilter中的代码路径可以允许某人通过提供任意用户名来执行模拟。恶意用户可能能够访问权限检查功能,该功能最终将根据他们的输入构建一个 Unix shell 命令并执行它。这将导致任意 shell 命令执行,因为用户 Spark 当前正在运行。
Spark 是用于大规模数据处理的统一分析引擎。它提供了 Scala、Java、Python 和 R 中的高级 API,以及支持用于数据分析的通用计算图的优化引擎。

漏洞编号:
CVE-2022-33891

漏洞等级:
重要级,CVSS评分暂未给出

受影响的版本:
Apache Spark <= 3.0.3
Apache Spark 3.1.1 到 3.1.2
以及Apache Spark 3.2.0 到 3.2.1

安全版本:
升级到受支持的 Apache Spark 3.1.3、3.2.2、3.3.0 或更高版本。

官方下载链接:
游客,如果您要查看本帖隐藏内容请回复



aaaa
村长黑科技是专业提供项目资源的服务的村长黑科技平台,如合购网赚项目、引流推广软件、软件程序开发等项目就选村长黑科技平台,参与或发布项目定制各种软件就来村长黑科技平台
liqiang24 | 2022-8-5 14:10:33 | 显示全部楼层
无论是不是沙发都得回复下
aaaa
村长黑科技是专业提供项目资源的服务的村长黑科技平台,如合购网赚项目、引流推广软件、软件程序开发等项目就选村长黑科技平台,参与或发布项目定制各种软件就来村长黑科技平台
回复

使用道具 举报

无量科技 | 2022-8-8 16:18:20 | 显示全部楼层
楼下的接上
aaaa
村长黑科技是专业提供项目资源的服务的村长黑科技平台,如合购网赚项目、引流推广软件、软件程序开发等项目就选村长黑科技平台,参与或发布项目定制各种软件就来村长黑科技平台
回复

使用道具 举报

半度微凉 | 2022-8-9 15:16:07 | 显示全部楼层
路过 帮顶 嘿嘿
aaaa
村长黑科技是专业提供项目资源的服务的村长黑科技平台,如合购网赚项目、引流推广软件、软件程序开发等项目就选村长黑科技平台,参与或发布项目定制各种软件就来村长黑科技平台
回复

使用道具 举报

千百渡 | 2022-8-10 13:53:17 | 显示全部楼层
村长敢整点更有创意的不?兄弟们等着围观捏~
aaaa
村长黑科技是专业提供项目资源的服务的村长黑科技平台,如合购网赚项目、引流推广软件、软件程序开发等项目就选村长黑科技平台,参与或发布项目定制各种软件就来村长黑科技平台
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则