Apache Hadoop YARN反序列化漏洞 （CVE-2021-25642）

基本信息

风险等级： 高危

漏洞类型： 反序列化

漏洞编号： 

CVE-2021-25642

漏洞描述

近日，飓风安全应急团队监测到Apache发布安全公告，修复了一个存在于Apache Hadoop YARN中的反序列化漏洞。Apache Hadoop YARN的CapacityScheduler可选地使用ZKConfigurationStore，它可在无需验证的情况下反序列化从ZooKeeper中获取的数据。能够访问ZooKeeper的攻击者可以利用该漏洞以YARN用户的身份运行任意命令。

【受影响版本】

• 2.9.0 <= Apache Hadoop <= 2.10.1

• 3.0.0-alpha <= Apache Hadoop <= 3.2.3

• 3.3.0 <= Apache Hadoop <= 3.3.3

【安全版本】

• Apache Hadoop >= 2.10.2

• Apache Hadoop >= 3.2.4

• Apache Hadoop >= 3.3.4(包含 YARN-11126)

Apache Hadoop YARN （Yet Another Resource Negotiator，另一种资源协调者）是一种新的 Hadoop 资源管理器，它是一个通用资源管理系统和调度平台。

影响范围

2.9.0 <= Apache Hadoop <= 2.10.1，3.0.0-alpha <= Apache Hadoop <= 3.2.3，3.3.0 <= Apache Hadoop <= 3.3.3

解决方案

修复建议

临时修复建议：

如果目前无法升级，若业务环境允许，使用白名单限制web端口的访问来降低风险。

通用修复建议：

官方已发布补丁修复漏洞，请及时下载更新,下载地址:

https://hadoop.apache.org/releases.html

原文始发于微信公众号（飓风网络安全）：Apache Hadoop YARN反序列化漏洞 （CVE-2021-25642）