一、背景介绍
近日,市委网信办技术支撑单位监测到Apache Ambari发布发布了安全通告,修复了 2 个安全漏洞(CVE-2022-45855、CVE-2022-42009)。
1.1 漏洞描述
Apache Ambari是一个旨在简化Hadoop管理的项目,它开发了用于配置、管理和监控Apache Hadoop集群的软件。
1.1.1 Apache Ambari MetricsSource SpringEL注入漏洞(CVE-2022-45855),在2.7.0-2.7.6 版本中存在SpringEL注入漏洞。在metrics source功能点中允许经过身份验证的恶意用户远程执行任意代码,从而控制服务器。
1.1.2 Apache Ambari SpringEL注入漏洞(CVE-2022-42009),在2.7.0-2.7.6版本中存在SpringEL注入漏洞。允许经过身份验证的恶意用户远程执行任意代码,从而控制服务器。
1.2 漏洞编号
CVE-2022-45855
CVE-2022-42009
1.3 漏洞等级
高危
二、修复建议
2.1 受影响版本
2.7.0<=Apache Ambari<=2.7.6
2.2 修复建议
厂商已发布了漏洞修复补丁,请使用此产品的用户尽快更新到安全版本:
Apache Ambari>=2.7.7
官方网站:https://ambari.apache.org/