漏洞公告
近日,安恒信息CERT监测到Apache官方发布了安全更新,修复了Apache Spark的一个命令注入漏洞(CVE-2022-33891)。该漏洞源于程序使用了命令拼接,成功利用此漏洞可导致任意 shell 命令执行。目前官方已发布安全版本,建议受影响的用户尽快采取安全措施。
参考链接:https://spark.apache.org/security.html
一
影响范围
受影响版本:
Apache Spark <= 3.0.3
3.1.1 <= Apache Spark <= 3.1.2
3.2.0 <= Apache Spark <= 3.2.1
安全版本:
Apache Spark >= 3.1.3
Apache Spark >= 3.2.2
Apache Spark >= 3.3.0
二
漏洞描述
Apache Spark是美国阿帕奇(Apache)软件基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎。
Apache Spark存在一处命令注入漏洞(CVE-2022-33891),该漏洞是由于Apache Spark UI提供了通过配置选项spark.acls.enable启用ACL的可能性,HttpSecurityFilter中的代码路径可以通过提供任意用户名来允许某人执行模拟。因此,恶意用户凭借访问权限检查函数最终将基于其输入构建Unix shell命令并执行它。成功利用此漏洞可导致任意 shell 命令执行。
| 细节是否公开 | POC状态 | EXP状态 | 在野利用 |
| 是 | 已存在 | 已存在 | 未知 |
三
缓解措施
高危:目前漏洞细节和利用代码已公开,官方已发布新版本修复了此漏洞,建议受影响用户及时升级更新到安全版本。
官方建议:
1、目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。
下载地址:https://spark.apache.org/downloads.html
安恒信息CERT
2022年7月
原文始发于微信公众号(安恒信息CERT):Apache Spark shell命令注入漏洞风险提示(CVE-2022-33891)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论