当前位置:网站首页>【安全狗漏洞通告】Apache Spark 命令注入漏洞方案
【安全狗漏洞通告】Apache Spark 命令注入漏洞方案
2022-07-21 06:46:00 【安全狗新闻】
近日,安全狗应急响应中心监测到Apache官方发布了安全更新,修复了Apache Spark的一个命令注入漏洞(CVE-2022-33891)。该漏洞源于程序使用了命令拼接,成功利用此漏洞可导致任意shell命令执行。
目前官方已发布安全版本,安全狗建议受影响的用户尽快采取安全措施。
漏洞描述
Apache Spark是美国阿帕奇(Apache)软件基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎。
Apache Spark存在一处命令注入漏洞(CVE-2022-33891),该漏洞是由于Apache Spark UI提供了通过配置选项spark.acls.enable启用ACL的可能性,HttpSecurityFilter中的代码路径可以通过提供任意用户名来允许某人执行模拟。因此,恶意用户凭借访问权限检查函数最终将基于其输入构建Unix shell命令并执行它。成功利用此漏洞可导致任意shell命令执行。
安全通告信息
漏洞名称 | Apache Spark Shell命令注入漏洞 |
漏洞影响版本 | Apache Spark=<3.0.3 Apache Spark 3.1.1-3.1.2 Apache Spark 3.2.0-3.2.1 |
漏洞危害等级 | 高危 |
厂商是否已发布漏洞补丁 | 是 |
版本更新地址 | https://spark.apache.org/downloads.html |
安全狗总预警期数 | 237 |
安全狗发布预警日期 | 2022年07月18日 |
安全狗更新预警日期 | 2022年07月20日 |
发布者 | 安全狗海青实验室 |
官方安全建议
安全建议
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本下载链接:
https://spark.apache.org/downloads.html
注:要确定主机是否受到影响。
【备注】:建议您在升级前做好数据备份工作,避免出现意外
边栏推荐
- 一种新的UI测试方法:视觉感知测试
- (pytorch进阶之路六)Swin Transformer实现
- C#托管资源和非托管资源
- Websocket transfer file
- Framework——WMS之WindowManager(窗口管理服务)实战
- Statistics for each month of the year
- 分析少儿编程思维的启蒙问题
- About object obj = new object()
- Oracle sets the maximum number of connections
- Word 2016 strange problem: file save error copy crash
猜你喜欢
![[终端_1]-Xshell 5 最火的终端软件!](/img/63/83a7f153126b5cbc04bff2794a869c.png)
![[rm_ee_note] 2 serial port & remote control](/img/c5/7d39e9965ac1324fd2479b563727b8.png)
随机推荐
Vs2022 shortcut key settings
Qt:qstring and qstringlist
【日常训练】1260. 二维网格迁移
Business based data governance, so that business data can play a long-term value
如何测试webservice接口
Check the version number of IAR project
连接远程服务器的vscode无法格式化代码/文档(已解决)
IP address segment classification
malloc 和 空間配置器
1306_两个开源printf的资源使用对比测试
LeetCode 1928. 规定时间内到达终点的最小花费
Selenium被检测为爬虫,怎么屏蔽和绕过
[completion course] development process of IOT / embedded / MCU graduation design project
Framework——WMS之WindowManager(窗口管理服务)实战
铜牛机房项目的优势和劣势
接口测试中,要验证和使用数据库吗
Oracle sets the maximum number of connections
Mysql05(视图)
Business innovation driven by metadata to build new competitive advantages of enterprises
Installation du gestionnaire de loisirs