【風(fēng)險(xiǎn)通告】Apache Spark 遠(yuǎn)程代碼執(zhí)行漏洞
2020-06-24 00:00:00
2020年6月24日���,金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到Apache Spark披露了一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞�����,攻擊者可以利用該漏洞在主機(jī)上執(zhí)行任意命令����。
該漏洞利用門檻低影響面大,建議用戶及時(shí)更新到安全版本�,做好資產(chǎn)自查及預(yù)防工作,避免不必要的損失�����。
漏洞名稱
Apache Spark 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2020-9480)
風(fēng)險(xiǎn)等級(jí)
高危
漏洞描述
Apache Spark 是專為大規(guī)模數(shù)據(jù)處理而設(shè)計(jì)的快速通用的計(jì)算引擎��。Apache Spark的獨(dú)立資源管理器的主服務(wù)器可以通過配置共享密鑰進(jìn)行認(rèn)證(spark.authenticate)�,但是在認(rèn)證啟用之后,即使沒有共享密鑰�,也可以通過發(fā)送到主服務(wù)器的精心構(gòu)造的遠(yuǎn)程過程調(diào)用指令在Spark集群上成功啟動(dòng)應(yīng)用程序的資源,攻擊者可以利用該漏洞在主機(jī)上執(zhí)行任意命令���。�。
經(jīng)金山云安全團(tuán)隊(duì)分析�����,Apache Spark的認(rèn)證機(jī)制存在缺陷, 在開啟密鑰認(rèn)證的情況下,未經(jīng)驗(yàn)證的攻擊者仍可通過精心構(gòu)造的數(shù)據(jù)包進(jìn)行遠(yuǎn)程代碼執(zhí)行��。
影響版本
Apache Spark < = 2.4.5
修復(fù)建議
更新到Spark 2.4.6或3.0.0以上版本
下載地址:https://github.com/apache/spark/releases
注:如果可行的話�,僅允許受信主機(jī)訪問集群
參考鏈接
http://spark.apache.org/security.html
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2020/06/24