【風(fēng)險(xiǎn)通告】Apache Spark 遠(yuǎn)程代碼執(zhí)行漏洞
2020-06-24 00:00:00
2020年6月24日�����,金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到Apache Spark披露了一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞��,攻擊者可以利用該漏洞在主機(jī)上執(zhí)行任意命令���。
該漏洞利用門(mén)檻低影響面大,建議用戶(hù)及時(shí)更新到安全版本�����,做好資產(chǎn)自查及預(yù)防工作,避免不必要的損失�。
漏洞名稱(chēng)
Apache Spark 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2020-9480)
風(fēng)險(xiǎn)等級(jí)
高危
漏洞描述
Apache Spark 是專(zhuān)為大規(guī)模數(shù)據(jù)處理而設(shè)計(jì)的快速通用的計(jì)算引擎���。Apache Spark的獨(dú)立資源管理器的主服務(wù)器可以通過(guò)配置共享密鑰進(jìn)行認(rèn)證(spark.authenticate)����,但是在認(rèn)證啟用之后����,即使沒(méi)有共享密鑰,也可以通過(guò)發(fā)送到主服務(wù)器的精心構(gòu)造的遠(yuǎn)程過(guò)程調(diào)用指令在Spark集群上成功啟動(dòng)應(yīng)用程序的資源�,攻擊者可以利用該漏洞在主機(jī)上執(zhí)行任意命令。���。
經(jīng)金山云安全團(tuán)隊(duì)分析��,Apache Spark的認(rèn)證機(jī)制存在缺陷, 在開(kāi)啟密鑰認(rèn)證的情況下��,未經(jīng)驗(yàn)證的攻擊者仍可通過(guò)精心構(gòu)造的數(shù)據(jù)包進(jìn)行遠(yuǎn)程代碼執(zhí)行��。
影響版本
Apache Spark < = 2.4.5
修復(fù)建議
更新到Spark 2.4.6或3.0.0以上版本
下載地址:https://github.com/apache/spark/releases
注:如果可行的話(huà)�����,僅允許受信主機(jī)訪(fǎng)問(wèn)集群
參考鏈接
http://spark.apache.org/security.html
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2020/06/24