关于Apache Hadoop YARN反序列化漏洞的风险提示

2022-08-2610

一、背景介绍

8月25日,市委网信办技术支撑单位监测到Apache发布了安全通告,修复了一个安全漏洞(CVE-2021-25642,)。

1.1 漏洞描述

ZKConfigurationStore是由Apache Hadoop YARN的CapacityScheduler选择性使用的。Apache Hadoop YARN对从ZooKeeper获得的数据进行反序列化而不进行验证。访问ZooKeeper的攻击者可以利用这一点以YARN用户身份运行任意命令。

1.2漏洞编号

CVE-2021-25642

1.3漏洞等级

高危


二、修复建议

2.1 受影响版本

Hadoop Yarn - Apache

>=2.9.0&&<=2.10.1

>=3.0.0-alpha&&<=3.2.3

>=3.3.0&&<=3.3.3

2.2 修复建议

目前官方已经修复此漏洞,修复版本为Apache Hadoop 2.10.2、3.2.4、3.3.4或更高版本(包含YARN-11126),请受影响的用户尽快升级到安全版本,避免遭受漏洞的影响。

升级链接:https://hadoop.apache.org/docs/stable/hadoop-yarn/hadoop-yarn-site/YARN.html