关于Apache Spark命令注入漏洞（CVE-2022-33891）的预警提示

发布时间：2022-07-26浏览次数：648

一、漏洞详情 Apache Spark 是用于大规模数据处理的统一分析引擎。 Apache发布安全公告，修复了Apache Spark中的一个命令注入漏洞（CVE-2022-33891）。 在Apache Spark中，可以通过Apache Spark用户界面提供的配置选项spark.acls.enable来启用ACL，可以通过认证过滤器检查用户是否有查看或修改应用程序的权限。如果ACL被启用，则可以通过提供任意用户名来模拟HttpSecurityFilter中的代码路径，并导致以Spark当前运行的用户身份执行任意shell命令。 建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。 二、影响范围 Apache Spark <= 3.0.3 3.1.1 <= Apache Spark <=3.1.2 3.2.0 <= Apache Spark <=3.2.1 三、修复建议 目前此漏洞已经修复，受影响用户可以升级到Apache Spark 3.1.3、3.2.2 、3.3.0 或更高版本。 下载链接：https://spark.apache.org/downloads.html