关于Apache Spark存在远程代码执行漏洞的安全公告
发布时间:
2020-06-24
文章来源:
作者
发布人:
wlaq
浏览次数:

发布时间:2020-06-24文章来源:网络与信息中心作者: 发布人:wlaq 浏览次数:907


  2020年6月23日,国家信息安全漏洞共享平台(CNVD)收录了由杭州安恒信息技术股份有限公司报送的Apache Spark远程代码执行漏洞(CNVD-2020-34445,对应CVE-2020-9480)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。目前,漏洞相关细节尚未公开,厂商已发布补丁进行修复。



一、漏洞情况分析


  Apache Spark 是专为大规模数据处理而设计的快速通用的计算引擎。Apache Spark 是一种与 Hadoop 相似的开源集群计算环境,启用了内存分布数据集,除了能够提供交互式查询外,它还可以优化迭代工作负载。Apache Spark 是在 Scala 语言中实现的,它将 Scala 用作其应用程序框架。


  2020年6月23日,国家信息安全漏洞共享平台(CNVD)收录了由杭州安恒信息技术股份有限公司报送的Apache Spark远程代码执行漏洞。由于Spark的认证机制存在缺陷,导致共享密钥认证失效。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的过程调用指令,启动Spark集群上的应用程序资源,获得目标服务器的权限,实现远程代码执行。


  CNVD对该漏洞的综合评级为“高危”。


二、漏洞影响范围


  漏洞影响的产品版本包括:


  Apache Spark < =2.4.5


三、漏洞处置建议


  目前,Apache官方已发布新版本修复此漏洞,建议立即升级至最新版本。



  引用自:国家信息安全漏洞共享平台(CNVD)


Copyright 2013 中国海洋大学网络与信息中心
电话:0532-66782160
邮箱:wlzx@ouc.edu.cn
地址:青岛市松岭路238号,中国海洋大学 图书馆B楼
邮编:266000
Baidu
map