CVE-2020-9480 | Apache Spark远程代码执行漏洞通告
发布时间 2020-06-240x00 漏洞概述
CVE ID |
CVE-2020-9480 |
时 间 |
2020-06-24 |
类 型 |
RCE |
等 级 |
高危 |
远程利用 |
是 |
影响范围 |
Apache Spark < = 2.4.5 |
0x01 漏洞详情
Apache Spark 是专为大规模数据处理而设计的快速通用的计算引擎。Spark是UC Berkeley AMP lab所开源的类Hadoop MapReduce的通用并行框架,它与 Hadoop 具有相似的开源集群计算环境,但是两者之间还存在一些不同之处,这使 Spark 在某些工作负载方面表现得更加优越,Spark 启用了内存分布数据集,除了能够提供交互式查询外,它还可以优化迭代工作负载。
近日,Apache官方发布通告,修复了一个Apache Spark远程代码执行漏洞。在Apache Spark 2.4.5以及更早版本中,独立资源管理器的主服务器可能被配置为需要通过共享密钥进行身份验证(spark.authenticate)。由于Spark的认证机制存在缺陷,导致共享密钥认证失效。攻击者可在未授权的情况下,远程发送精心构造的过程调用指令,来启动Spark集群上的应用程序资源,并获得目标服务器的权限,从而实现远程代码执行。
该漏洞等级为高危,启明星辰VSRC建议受影响的用户及时升级至最新版本。
0x02 处置建议
官方已发布最新版本,下载地址:
https://github.com/apache/spark/releases
0x03 相关新闻
https://osint.geekcq.com/2020/06/23/cve-2020-9480/
0x04 参考链接
https://spark.apache.org/security.html
0x05 时间线
2020-06-24 VSRC发布漏洞通告