首頁 > 安全研究 > 安全通報 > 安全通告

CVE-2020-9480 | Apache Spark遠程代碼執行漏洞通告

發布時間 2020-06-24

0x00 漏洞概述


CVE   ID

CVE-2020-9480

   

2020-06-24

   

RCE

   

高危

遠程利用

影響范圍

Apache Spark < = 2.4.5


0x01 漏洞詳情



Apache Spark 是專為大規模數據處理而設計的快速通用的計算引擎。Spark是UC Berkeley AMP lab所開源的類Hadoop MapReduce的通用并行框架,它與 Hadoop 具有相似的開源集群計算環境,但是兩者之間還存在一些不同之處,這使 Spark 在某些工作負載方面表現得更加優越,Spark 啟用了內存分布數據集,除了能夠提供交互式查詢外,它還可以優化迭代工作負載。

近日,Apache官方發布通告,修復了一個Apache Spark遠程代碼執行漏洞。在Apache Spark 2.4.5以及更早版本中,獨立資源管理器的主服務器可能被配置為需要通過共享密鑰進行身份驗證(spark.authenticate)。由于Spark的認證機制存在缺陷,導致共享密鑰認證失效。攻擊者可在未授權的情況下,遠程發送精心構造的過程調用指令,來啟動Spark集群上的應用程序資源,并獲得目標服務器的權限,從而實現遠程代碼執行。

該漏洞等級為高危,啟明星辰VSRC建議受影響的用戶及時升級至最新版本。



0x02 處置建議


官方已發布最新版本,下載地址:

https://github.com/apache/spark/releases


0x03 相關新聞


https://osint.geekcq.com/2020/06/23/cve-2020-9480/


0x04 參考鏈接


https://spark.apache.org/security.html


0x05 時間線


2020-06-24 VSRC發布漏洞通告




上一篇 下一篇