一、背景介绍
8月25日,市委网信办技术支撑单位监测到Apache发布了安全通告,修复了一个安全漏洞(CVE-2021-25642,)。
1.1 漏洞描述
ZKConfigurationStore是由Apache Hadoop YARN的CapacityScheduler选择性使用的。Apache Hadoop YARN对从ZooKeeper获得的数据进行反序列化而不进行验证。访问ZooKeeper的攻击者可以利用这一点以YARN用户身份运行任意命令。
1.2漏洞编号
CVE-2021-25642
1.3漏洞等级
高危
二、修复建议
2.1 受影响版本
Hadoop Yarn - Apache
>=2.9.0&&<=2.10.1
>=3.0.0-alpha&&<=3.2.3
>=3.3.0&&<=3.3.3
2.2 修复建议
目前官方已经修复此漏洞,修复版本为Apache Hadoop 2.10.2、3.2.4、3.3.4或更高版本(包含YARN-11126),请受影响的用户尽快升级到安全版本,避免遭受漏洞的影响。
升级链接:https://hadoop.apache.org/docs/stable/hadoop-yarn/hadoop-yarn-site/YARN.html