![Apache Spark UI 命令注入漏洞预警]( "Apache Spark UI 命令注入漏洞预警")
7月18日, Apache 发布安全公告,修复了一个 Apache Spark UI 中存在的命令注入漏洞。漏洞编号:CVE-2022-33891,漏洞威胁等级“高危”
当Apache Spark UI启用 ACL,则HttpSecurityFilter 中的代码路径允许通过提供任意用户名来模拟执行。恶意用户通过访问权限检查功能,构建一个 Unix shell 命令并执行。攻击者可利用此漏洞任意执行 shell 命令。
河南鼎信提醒受影响的用户尽快采取修补措施,避免引发漏洞相关的网络安全事件。
Apache Spark是美国阿帕奇(Apache)软件基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎。
Apache Spark存在一处命令注入漏洞(CVE-2022-33891),该漏洞是由于Apache Spark UI提供了通过配置选项spark.acls.enable启用ACL的可能性,HttpSecurityFilter中的代码路径可以通过提供任意用户名来允许某人执行模拟。因此,恶意用户凭借访问权限检查函数最终将基于其输入构建Unix shell命令并执行它。成功利用此漏洞可导致任意shell命令执行。目前,该漏洞危害较大且 POC 已公开,为避免遭受黑客攻击,建议用户尽快自查修复尽快升级至安全版本。
该漏洞会导致调用执行系统命令时,将用户的输入作为系统命令的参数拼接到命令行中,而没用相应的过滤。会造成对用户系统造成以下危害:
1、继承用户Web 服务器程序权限,去执行系统命令
2、继承用户Web 服务器权限,读取用户隐私文件
3、反弹Shell,造成用户系统被控制
4、控制用户整个网站,进而控制服务器
· Apache.Spark=<3.0.3
· Apache.Spark (3.1.1- 3.1.2)
· Apache.Spark (3.2.0, 3.2.1)
不受影响的其他版本
官方已发布漏洞修复更新,鼎信安全建议您及时升级至安全版本避免安全风险。
注:企业生产环境部署补丁前,建议进行充分测试,避免出现意外。
https://spark.apache.org/downloads.html
HenanDingXin Information Security Service Co.,Ltd
地址:郑州市郑东新区中原数字经济产业园9号楼黄河大厦7层
![Apache Spark UI 命令注入漏洞预警]( "Apache Spark UI 命令注入漏洞预警")
原文始发于微信公众号(鼎信安全):Apache Spark UI 命令注入漏洞预警
评论