Apache Spark XSS漏洞安全通告
发布时间 2018-07-13漏洞编号
CVE-2018-8024
漏洞级别
厂商自评:中危 CVSS分值:官方未评定
影响范围
受影响的版本:
Spark 2.1.2
Spark 2.2.0到2.2.1
Spark 2.3.0
漏洞概述
Apache Spark是基于内存计算的大数据并行计算框架,在大数据环境中广泛应用。
在Apache Spark中,包括2.1.2,2.2.0到2.2.1和2.3.0,恶意用户可以构建一个指向Spark集群UI作业和阶段信息页面的URL,如果用户被欺骗访问URL,可从用户的Spark UI视图中导致脚本执行以及信息泄漏。虽然一些浏览器(如最近版本的Chrome和Safari)能够阻止此类攻击,但当前版本的Firefox(可能还有其他)还受影响。
修复建议
目前官方已修复该漏洞:
1.x, 2.0.x,和2.1.x升级至2.1.3。
2.2.x升级至2.2.2。
2.3.x升级至2.3.1。
参考链接
http://www.scap.org.cn/CVE-2018-8024.html
https://spark.apache.org/security.html
京公网安备11010802024551号