一、背景介绍
7月20日,市委网信办技术支撑单位监测到到 Apache 官方发布安全公告,修复了一个 Apache Spark 中的命令注入漏洞(CVE-2022-33891)。
1.1漏洞描述
Apache Spark 是一种用于大数据工作负载的分布式开源处理系统。它使用内存中缓存和 优化的查询执行方式,可针对任何规模的数据进行快速分析查询。由于 Apache Spark UI 可通过配置选项 Spark.acl. enable 来启用 acl,从而通过使用身份验证过滤器,可以检查用户是否具有查看或修改应用程 序的访问权限。当启用了 acl 配置时,HttpSecurityFilter 中的代码会允许某些用户提供任意用 户名进行模拟执行。攻击者可以通过该功能构造 Unix shell 命令请求,从而实现任意 shell 命 令执行。
1.2漏洞编号
CVE-2022-33891
1.3漏洞等级
高危
二、修复建议
2.1受影响版本:
Apache Spark ≤ v3.0.3
3.1.1 ≤ Apache Spark ≤ 3.1.2
3.2.0 ≤ Apache Spark ≤ 3.2.1
2.2修复建议
目前官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方 下载链接: https://spark.apache.org/downloads.html