【漏洞公告】
近日,Apache官方发布了安全更新,修复了Apache Spark的一个命令注入漏洞(CVE-2022-33891)。该漏洞源于程序使用了命令拼接,成功利用此漏洞可导致任意shell命令执行。目前官方已发布安全版本,建议受影响的用户尽快采取安全措施。
参考链接:https://spark.apache.org/security.html
【影响范围】
受影响版本:
Apache Spark <= 3.0.3
3.1.1 <= Apache Spark <= 3.1.2
3.2.0 <= Apache Spark <= 3.2.1
安全版本:
Apache Spark >= 3.1.3
Apache Spark >= 3.2.2
Apache Spark >= 3.3.0
【漏洞描述】
Apache Spark是美国阿帕奇(Apache)软件基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎。
Apache Spark存在一处命令注入漏洞(CVE-2022-33891),该漏洞是由于Apache Spark UI提供了通过配置选项spark.acls.enable启用ACL的可能性,HttpSecurityFilter中的代码路径可以通过提供任意用户名来允许某人执行模拟。因此,恶意用户凭借访问权限检查函数最终将基于其输入构建Unix shell命令并执行它。成功利用此漏洞可导致任意shell命令执行。
细节是否公开 | POC状态 | EXP状态 | 在野利用 |
是 | 已公开 | 已公开 | 未知 |
已验证该漏洞的可利用性:
【缓解措施】
高危: 目前漏洞细节和利用代码已公开,官网已发布新版本修复了此漏洞,建议受影响用户及时升级更新到安全版本。
官方建议:
1、目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。
下载地址:https://spark.apache.org/downloads.html
