一、概要

近日華為云監(jiān)測(cè)到Apache Spark官方發(fā)布安全公告，披露在Apache Spark <= 2.4.5的版本中存在一處遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2020-9480）。由于Spark的認(rèn)證機(jī)制存在缺陷，導(dǎo)致共享密鑰認(rèn)證失效。攻擊者利用漏洞可在未授權(quán)的情況下，遠(yuǎn)程發(fā)送特制RPC啟動(dòng)Spark集群上的應(yīng)用程序資源，可以用它在主機(jī)上執(zhí)行shell命令。

華為云提醒使用Apache Spark的用戶及時(shí)安排自檢并做好安全加固。

詳情請(qǐng)參考鏈接：

https://spark.apache.org/security.html

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

Apache Spark < = 2.4.5

安全版本：

Apache Spark  2.4.6或3.0.0

四、漏洞處置

目前，官方已在新版本中修復(fù)了該漏洞，請(qǐng)受影響的用戶升級(jí)到安全版本。

下載地址：https://github.com/apache/spark/releases

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。