关于Apache Spark命令注入漏洞(CVE-2022-33891)的预警提示

发布时间:2022-07-26浏览次数:328

一、漏洞详情

Apache Spark 是用于大规模数据处理的统一分析引擎。

Apache发布安全公告,修复了Apache Spark中的一个命令注入漏洞(CVE-2022-33891)。

Apache Spark中,可以通过Apache Spark用户界面提供的配置选项spark.acls.enable来启用ACL,可以通过认证过滤器检查用户是否有查看或修改应用程序的权限。如果ACL被启用,则可以通过提供任意用户名来模拟HttpSecurityFilter中的代码路径,并导致以Spark当前运行的用户身份执行任意shell命令。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Apache Spark <= 3.0.3

3.1.1 <= Apache Spark <=3.1.2

3.2.0 <= Apache Spark <=3.2.1

三、修复建议

目前此漏洞已经修复,受影响用户可以升级到Apache Spark 3.1.33.2.2 3.3.0 或更高版本。

下载链接:https://spark.apache.org/downloads.html