99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

安全通告

Apache Spark命令注入漏洞安全風(fēng)險(xiǎn)通告

發(fā)布日期：2022-3-30

漏洞描述

近日，監(jiān)測到Apache Spark命令注入漏洞細(xì)節(jié)在互聯(lián)網(wǎng)上流傳。當(dāng)Spark任務(wù)的文件名可控時(shí)，‘Utils.unpack’采用命令拼接的形式對tar文件進(jìn)行解壓，存在任意命令注入的風(fēng)險(xiǎn)。這是源于Hadoop中unTar函數(shù)存在問題，在其執(zhí)行shell命令之前未正確轉(zhuǎn)義文件名，直接拼接命令導(dǎo)致任意命令注入。

目前，此漏洞細(xì)節(jié)已在互聯(lián)網(wǎng)上流傳。鑒于此漏洞細(xì)節(jié)已公開，建議客戶盡快做好自查及防護(hù)。

漏洞危害

攻擊者可利用該漏洞注入任意命令，導(dǎo)致命令執(zhí)行。

漏洞等級

高危
受影響版本

Spark Core 3.1.2, 3.2.1

不受影響版本

Spark Core 3.1.3, 3.2.2

修復(fù)方案

目前，Apache Spark官方已針對此漏洞提交修復(fù)補(bǔ)丁，請參照以下鏈接安裝補(bǔ)丁更新：

https://github.com/apache/spark/commit/057c051285ec32c665fb458d0670c1c16ba536b2

https://github.com/apache/spark/tree/057c051285ec32c665fb458d0670c1c16ba536b2

參考鏈接

• https://github.com/apache/spark/commit/057c051285ec32c665fb458d0670c1c16ba536b2
• https://github.com/apache/spark/pull/35946