关于Apache Hadoop YARN远程代码执行漏洞（CVE-2021-25642）的预警提示

发布时间：2022-09-01浏览次数：674

一、漏洞详情 Apache Hadoop YARN（Yet Another Resource Negotiator，另一种资源协调者）是一种新的Hadoop资源管理器，它是一个通用资源管理系统和调度平台。 Apache官方发布安全公告，修复了Apache Hadoop YARN中的一个远程代码执行漏洞（CVE-2021-25642）。 ZKConfigurationStore是Apache Hadoop YARN的CapacityScheduler可选使用的，由于ZKConfigurationStore可在未经验证的情况下反序列化从ZooKeeper获得的数据，因此能够访问ZooKeeper的威胁者可以利用此漏洞以YARN用户身份运行任意命令。 建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。 二、影响范围 2.9.0 <= Apache Hadoop <= 2.10.1 3.0.0-alpha <= Apache Hadoop <= 3.2.3 3.3.0 <= Apache Hadoop <= 3.3.3 三、修复建议 目前此漏洞已经修复，受影响用户可升级到Apache Hadoop 2.10.2、3.2.4、3.3.4或更高版本（包含 YARN-11126）。 下载链接：https://hadoop.apache.org/releases.html 注：不使用ZKConfigurationStore的用户不易受到此漏洞影响。