尊敬的用戶，您好！

    互聯(lián)網(wǎng)安全運營中心監(jiān)測到， Apache Spark 官方發(fā)布安全通告，公告稱 Spark 存在命令注入漏洞，漏洞編號CVE-2022-33891?？蓪?dǎo)致執(zhí)行任意命令等危害。

為避免您的業(yè)務(wù)受影響，棉花云安全建議您及時開展安全自查，如在受影響范圍，請您及時進(jìn)行更新修復(fù)，避免被外部攻擊者入侵。

漏洞詳情

Apache Spark 是專為大規(guī)模數(shù)據(jù)處理而設(shè)計的快速通用的計算引擎，是UC Berkeley AMP lab (加州大學(xué)伯克利分校的AMP實驗室)所開源的類Hadoop MapReduce的通用并行框架。

據(jù)描述，Apache Spark UI 中可通過配置選項 spark.acls.enable 啟用 ACL 。這些身份驗證過濾器會檢查用戶是否具有查看或修改應(yīng)用程序的訪問權(quán)限。如果啟用ACL，則 HttpSecurityFilter 中的代碼路徑可允許攻擊者冒充任意用戶。該功能可根據(jù)他們的輸入創(chuàng)建一個 Unix shell 命令并執(zhí)行，最終導(dǎo)致執(zhí)行任意命令。

風(fēng)險等級

高風(fēng)險

漏洞風(fēng)險

攻擊者利用該漏洞可導(dǎo)致遠(yuǎn)程執(zhí)行任意命令

影響版本

Apache Spark =< 3.0.3

Apache Spark 3.1.1 - 3.1.2

Apache Spark 3.2.0 - 3.2.1

安全版本

Apache Spark >= 3.3.0

Apache Spark >= 3.1.3

Apache Spark >= 3.2.2

修復(fù)建議

官方已發(fā)布漏洞補丁及修復(fù)版本，請評估業(yè)務(wù)是否受影響后，酌情升級至安全版本

【備注】：建議您在升級前做好數(shù)據(jù)備份工作，避免出現(xiàn)意外

漏洞參考

https://spark.apache.org/security.html 

棉花云