關于Apache Spark存在遠程代碼執行漏洞的安全公告

(作者:CNVD 文章來源:cnvd.org.cn 發布日期:2020-06-25 瀏覽數:)

安全公告編號:CNTA-2020-0012

2020年6月23日,國家信息安全漏洞共享平臺(CNVD)收錄了由杭州安恒信息技術股份有限公司報送的Apache Spark遠程代碼執行漏洞(CNVD-2020-34445,對應CVE-2020-9480)。攻擊者利用該漏洞,可在未授權的情況下遠程執行代碼。目前,漏洞相關細節尚未公開,廠商已發布補丁進行修復。

一、漏洞情況分析

Apache Spark 是專為大規模數據處理而設計的快速通用的計算引擎。Apache Spark 是一種與 Hadoop 相似的開源集群計算環境,啟用了內存分布數據集,除了能夠提供交互式查詢外,它還可以優化迭代工作負載。Apache Spark 是在 Scala 語言中實現的,它將 Scala 用作其應用程序框架。

2020年6月23日,國家信息安全漏洞共享平臺(CNVD)收錄了由杭州安恒信息技術股份有限公司報送的Apache Spark遠程代碼執行漏洞。由于Spark的認證機制存在缺陷,導致共享密鑰認證失效。攻擊者利用該漏洞,可在未授權的情況下,遠程發送精心構造的過程調用指令,啟動Spark集群上的應用程序資源,獲得目標服務器的權限,實現遠程代碼執行。

CNVD對該漏洞的綜合評級為“高?!?。

二、漏洞影響范圍

漏洞影響的產品版本包括:

Apache Spark < =2.4.5

三、漏洞處置建議

目前,Apache官方已發布新版本修復此漏洞,CNVD建議用戶立即升級至最新版本:

https://github.com/apache/spark/releases


附:參考鏈接:

https://github.com/apache/spark/releases


感謝杭州安恒信息技術股份有限公司為本報告提供的技術支持。


原文地址:https://www.cnvd.org.cn/webinfo/show/5585

168彩票网