【风险公告】Apache Spark 远程代码执行缝隙
2020-06-24 00:00:00
2020年6月24日,�,�,234钱包安全应急响应中心监测到Apache Spark披露了一个远程代码执行缝隙,�,�,攻击者能够利用该缝隙在主机上执行肆意号令�。�。
该缝隙利用门槛低影响面大,�,�,建议用户实时更新到安全版本,�,�,做好资产自查及预防工作,�,�,预防不用要的损失�。�。
缝隙名称
Apache Spark 远程代码执行缝隙(CVE-2020-9480)
风险等级
高危
缝隙描述
Apache Spark 是专为大规模数据处置而设计的急剧通用的推算引擎�。�。Apache Spark的独立资源治理器的主服务器能够通过配置共享密钥进行认证(spark.authenticate),�,�,但是在认证启用之后,�,�,即便没有共享密钥,�,�,也能够通过发送到主服务器的精心机关的远程过程挪用指令在Spark集群上成功启动利用法式的资源,�,�,攻击者能够利用该缝隙在主机上执行肆意号令�。�。�。�。
经234钱包安全团队分析,�,�,Apache Spark的认证机制存在缺点, 在开启密钥认证的情况下,�,�,未经验证的攻击者仍可通过精心机关的数据包进行远程代码执行�。�。
影响版本
Apache Spark < = 2.4.5
修复建议
更新到Spark 2.4.6或3.0.0以上版本
下载地址�:�:https://github.com/apache/spark/releases
注�:�:若是可行的话,�,�,仅允许受信主机接见集群
参考链接
http://spark.apache.org/security.html
北京234钱包网络技术有限公司
2020/06/24