聲明：該文章由作者（ksbugs-so）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請(qǐng)附上出處(0XUCN)及本頁鏈接。。

安全公告編號(hào):CNTA-2020-0012

2020年6月23日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄了由杭州安恒信息技術(shù)股份有限公司報(bào)送的Apache Spark遠(yuǎn)程代碼執(zhí)行漏洞（CNVD-2020-34445，對(duì)應(yīng)CVE-2020-9480）。攻擊者利用該漏洞，可在未授權(quán)的情況下遠(yuǎn)程執(zhí)行代碼。目前，漏洞相關(guān)細(xì)節(jié)尚未公開，廠商已發(fā)布補(bǔ)丁進(jìn)行修復(fù)。

漏洞情況分析

Apache Spark 是專為大規(guī)模數(shù)據(jù)處理而設(shè)計(jì)的快速通用的計(jì)算引擎。Apache Spark 是一種與 Hadoop 相似的開源集群計(jì)算環(huán)境，啟用了內(nèi)存分布數(shù)據(jù)集，除了能夠提供交互式查詢外，它還可以優(yōu)化迭代工作負(fù)載。Apache Spark 是在 Scala 語言中實(shí)現(xiàn)的，它將 Scala 用作其應(yīng)用程序框架。

2020年6月23日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄了由杭州安恒信息技術(shù)股份有限公司報(bào)送的Apache Spark遠(yuǎn)程代碼執(zhí)行漏洞。由于Spark的認(rèn)證機(jī)制存在缺陷，導(dǎo)致共享密鑰認(rèn)證失效。攻擊者利用該漏洞，可在未授權(quán)的情況下，遠(yuǎn)程發(fā)送精心構(gòu)造的過程調(diào)用指令，啟動(dòng)Spark集群上的應(yīng)用程序資源，獲得目標(biāo)服務(wù)器的權(quán)限，實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高?！薄?/p>

漏洞影響范圍

漏洞影響的產(chǎn)品版本包括：

Apache Spark < =2.4.5

漏洞處置建議

目前，Apache官方已發(fā)布新版本修復(fù)此漏洞，CNVD建議用戶立即升級(jí)至最新版本：

https://github.com/apache/spark/releases

?

附：參考鏈接：

https://github.com/apache/spark/releases

?

感謝杭州安恒信息技術(shù)股份有限公司為本報(bào)告提供的技術(shù)支持。

來自：CNVD

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/