【風險通告】Apache Spark 遠程代碼執(zhí)行漏洞
2020-06-24 00:00:00
2020年6月24日,金山云安全應(yīng)急響應(yīng)中心監(jiān)測到Apache Spark披露了一個遠程代碼執(zhí)行漏洞�,攻擊者可以利用該漏洞在主機上執(zhí)行任意命令。
該漏洞利用門檻低影響面大�,建議用戶及時更新到安全版本,做好資產(chǎn)自查及預(yù)防工作�,避免不必要的損失。
漏洞名稱
Apache Spark 遠程代碼執(zhí)行漏洞(CVE-2020-9480)
風險等級
高危
漏洞描述
Apache Spark 是專為大規(guī)模數(shù)據(jù)處理而設(shè)計的快速通用的計算引擎����。Apache Spark的獨立資源管理器的主服務(wù)器可以通過配置共享密鑰進行認證(spark.authenticate),但是在認證啟用之后����,即使沒有共享密鑰,也可以通過發(fā)送到主服務(wù)器的精心構(gòu)造的遠程過程調(diào)用指令在Spark集群上成功啟動應(yīng)用程序的資源���,攻擊者可以利用該漏洞在主機上執(zhí)行任意命令�。����。
經(jīng)金山云安全團隊分析�,Apache Spark的認證機制存在缺陷, 在開啟密鑰認證的情況下,未經(jīng)驗證的攻擊者仍可通過精心構(gòu)造的數(shù)據(jù)包進行遠程代碼執(zhí)行�����。
影響版本
Apache Spark < = 2.4.5
修復(fù)建議
更新到Spark 2.4.6或3.0.0以上版本
下載地址:https://github.com/apache/spark/releases
注:如果可行的話,僅允許受信主機訪問集群
參考鏈接
http://spark.apache.org/security.html
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2020/06/24