【漏洞通告】Apache Spark 命令注入漏洞（CVE-2022-33891）

漏洞概述

美创安全实验室监测到Apache Spark 组件存在命令注入漏洞。漏洞编号：CVE-2022-33891，漏洞等级：高危。

Apache Spark UI 提供了通过配置选项 spark.acls.enable 启用 ACL 的可能性。如果启用了 ACL，则 HttpSecurityFilter 中的代码路径可以允许攻击者通过提供任意用户名来执行模拟。因此，攻击者能够访问权限检查功能，该功能最终将根据攻击者的输入构建一个 Unix shell 命令并执行。成功利用此漏洞可导致任意 shell 命令执行。

目前，Apache Spark官方已发布新版本修复了漏洞，请用户及时确认是否受到漏洞影响，尽快采取修补措施。

影响范围

影响版本	安全版本
Apache Spark<= 3.0.3	Apache Spark>= 3.3.0
3.1.1 ≤ Apache Spark ≤ 3.1.2	Apache Spark>= 3.1.3
3.2.0 ≤ Apache Spark ≤3.2.1	Apache Spark>= 3.2.2

处置建议

升级到 3.3.0，3.1.3，3.2.2或更高版本

下载地址：

https://spark.apache.org/downloads.html

原文始发于微信公众号（第59号）：【漏洞通告】Apache Spark 命令注入漏洞（CVE-2022-33891）