7*24小时技术支持
海外CN2服务器(客服1)
近日,网络应急团队监测到Apache发布安全公告,修复了一个存在于Apache Spark的命令注入漏洞。Apache Spark UI提供了通过配置选项Spark.acl .enable启用acl的可能性。使用身份验证过滤器,这将检查用户是否具有查看或修改应用程序的访问权限。如果启用了acl, HttpSecurityFilter中的代码路径可以允许某人通过提供任意用户名来执行模拟。恶意用户可能能够访问权限检查功能,该功能最终将根据他们的输入构建一个 Unix shell 命令并执行它。 这将导致任意 shell 命令执行。
【受影响版本】
Apache Spark <= 3.0.3
3.1.1 <= Apache Spark <= 3.1.2
3.2.0 <= Apache Spark <= 3.2.1
【安全版本】
Apache Spark >= 3.1.3
Apache Spark >= 3.2.2
Apache Spark >= 3.3.0
Apache Spark是美国阿帕奇(Apache)软件基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎。
Copyright 2009-2022 HKBGP Network
