Apache Spark存在远程代码执行漏洞(CVE-2020-9480)

  • A+
所属分类:javasec_cn
摘要

2020年6月23日,国家信息安全漏洞共享平台(CNVD)收录了由杭州安恒信息技术股份有限公司报送的Apache Spark远程代码执行漏洞(CNVD-2020-34445,对应CVE-2020-9480)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。目前,漏洞相关细节尚未公开,厂商已发布补丁进行修复。

Apache Spark存在远程代码执行漏洞(CVE-2020-9480)

简介

2020年6月23日,国家信息安全漏洞共享平台(CNVD)收录了由杭州安恒信息技术股份有限公司报送的Apache Spark远程代码执行漏洞(CNVD-2020-34445,对应CVE-2020-9480)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。目前,漏洞相关细节尚未公开,厂商已发布补丁进行修复。

漏洞描述

Apache Spark 是专为大规模数据处理而设计的快速通用的计算引擎。Apache Spark 是一种与 Hadoop 相似的开源集群计算环境,启用了内存分布数据集,除了能够提供交互式查询外,它还可以优化迭代工作负载。Apache Spark 是在 Scala 语言中实现的,它将 Scala 用作其应用程序框架。

2020年6月23日,国家信息安全漏洞共享平台(CNVD)收录了由杭州安恒信息技术股份有限公司报送的Apache Spark远程代码执行漏洞。由于Spark的认证机制存在缺陷,导致共享密钥认证失效。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的过程调用指令,启动Spark集群上的应用程序资源,获得目标服务器的权限,实现远程代码执行。

漏洞评级

高危

影响版本

漏洞影响的产品版本包括:
Apache Spark < =2.4.5

修复建议

目前,Apache官方已发布新版本修复此漏洞,CNVD建议用户立即升级至最新版本:
https://github.com/apache/spark/releases

参考链接

  • https://mp.weixin.qq.com/s?__biz=MzU3ODM2NTg2Mg==&mid=2247488143&idx=1&sn=05e50c1af8a785688b81f29f2e1556a1

相关推荐: Shiro RCE/反序列/命令执行一键利用工具

工具仅供安全自测,未经授权不得非法测试!使用工具请遵守《中华人民共和国网络安全法》。 工具来源紫霞仙子 github: https://github.com/wyzxxz/shiro_rce 先知: https://xz.aliyun.com/forum/up…

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: