Apache Spark 命令注入漏洞預(yù)警（CVE-2022-33891）

2022-07-19

一、概要

近日華為云關(guān)注到Apache Spark官方發(fā)布安全公告，披露在Apache Spark特定版本中存在一處命令注入漏洞（CVE-2022-33891）。Apache Spark UI具有ACL機(jī)制，當(dāng)開啟ACL后，攻擊者可利用漏洞冒充任意用戶進(jìn)行任意命令注入并執(zhí)行。

Apache Spark 是一個(gè)開源的大數(shù)據(jù)處理框架。華為云提醒使用Apache Spark的用戶盡快安排自檢并做好安全加固。

參考鏈接：https://spark.apache.org/security.html

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急） 

三、漏洞影響范圍

影響版本：

Apache Spark =< 3.0.3

Apache Spark 3.1.1 - 3.1.2

Apache Spark 3.2.0 - 3.2.1

安全版本：

Apache Spark >= 3.3.0

Apache Spark >= 3.1.3

Apache Spark >= 3.2.2 

四、漏洞處置

目前，官方已發(fā)布新版本修復(fù)了該漏洞，請(qǐng)受影響的用戶升級(jí)到安全版本：

https://github.com/apache/spark/tags

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。