關於Apache Spark存在遠程代碼執行漏洞的安全公告
安全公告編號:CNTA-2020-0012(CNVD-2020-34445,對應CVE-2020-9480)
一、漏洞情況分析
Apache Spark 是專爲大規模數據處理而設計的快速通用的計算引擎。Apache Spark 是一種與 Hadoop 相似的開源集羣計算環境,啓用了內存分佈數據集,除了能夠提供交互式查詢外,它還可以優化迭代工作負載。Apache Spark 是在 Scala 語言中實現的,它將 Scala 用作其應用程序框架。
2020年6月23日,國家信息安全漏洞共享平臺(CNVD)收錄了由杭州安恆信息技術股份有限公司報送的Apache Spark遠程代碼執行漏洞。由於Spark的認證機制存在缺陷,導致共享密鑰認證失效。攻擊者利用該漏洞,可在未授權的情況下,遠程發送精心構造的過程調用指令,啓動Spark集羣上的應用程序資源,獲得目標服務器的權限,實現遠程代碼執行。
CNVD對該漏洞的綜合評級爲“高危”。
二、漏洞影響範圍
漏洞影響的產品版本包括:
Apache Spark < =2.4.5
三、漏洞處置建議
目前,Apache官方已發佈新版本修復此漏洞,CNVD建議用戶立即升級至最新版本:
https://github.com/apache/spark/releases
附:參考鏈接:
https://github.com/apache/spark/releases