关于Apache Spark存在远程代码执行漏洞的安全公告
安全公告编号:CNTA-2020-0012
2020年6月23日,国家信息安全漏洞共享平台(CNVD)收录了由杭州安恒信息技术股份有限公司报送的Apache Spark远程代码执行漏洞(CNVD-2020-34445,对应CVE-2020-9480)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。目前,漏洞相关细节尚未公开,厂商已发布补丁进行修复。
漏洞情况分析
Apache Spark 是专为大规模数据处理而设计的快速通用的计算引擎。Apache Spark 是一种与 Hadoop 相似的开源集群计算环境,启用了内存分布数据集,除了能够提供交互式查询外,它还可以优化迭代工作负载。Apache Spark 是在 Scala 语言中实现的,它将 Scala 用作其应用程序框架。
2020年6月23日,国家信息安全漏洞共享平台(CNVD)收录了由杭州安恒信息技术股份有限公司报送的Apache Spark远程代码执行漏洞。由于Spark的认证机制存在缺陷,导致共享密钥认证失效。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的过程调用指令,启动Spark集群上的应用程序资源,获得目标服务器的权限,实现远程代码执行。
CNVD对该漏洞的综合评级为“高危”。
漏洞影响范围
漏洞影响的产品版本包括:
Apache Spark < =2.4.5
漏洞处置建议
目前,Apache官方已发布新版本修复此漏洞,CNVD建议用户立即升级至最新版本:
https://github.com/apache/spark/releases
附:参考链接:
https://github.com/apache/spark/releases
感谢杭州安恒信息技术股份有限公司为本报告提供的技术支持。
来自:CNVD
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- 1 习近平引领网信事业高质量发展 4991936
- 2 中国人民解放军信息支援部队成立 4901095
- 3 伊朗总统发声未提及伊斯法罕爆炸 4873409
- 4 一季度农业农村经济“开门稳” 4721488
- 5 大熊猫吃笋整出了扛炮筒的架势 4688142
- 6 女孩被男同学开黄腔 妈妈巧妙处理 4537141
- 7 王婆说媒现场男子与女主播起冲突 4432358
- 8 哈尔滨啤酒检出的呕吐毒素是什么 4371107
- 9 广西白沙大道一大楼倒塌系谣言 4232004
- 10 重庆通报燃气费多计多收问题 4179721