關(guān)于Apache Spark命令注入漏洞的預(yù)警通報(bào)

Apache Spark組件存在命令注入漏洞，漏洞威脅等級(jí)：高危。

Apache Spark是一種用于大數(shù)據(jù)工作負(fù)載的分布式開源處理系統(tǒng)。它使用內(nèi)存中緩存和優(yōu)化的查詢執(zhí)行方式，可針對(duì)任何規(guī)模的數(shù)據(jù)進(jìn)行快速分析查詢。它提供使用Java、Scala、Python和R語(yǔ)言的開發(fā)API，支持跨多個(gè)工作負(fù)載重用代碼—批處理、交互式查詢、實(shí)時(shí)分析、機(jī)器學(xué)習(xí)和圖形處理等。

該漏洞是由于Apache Spark Core中引用了Hadoop里不安全的解壓函數(shù)unTar，攻擊者可利用該漏洞構(gòu)造惡意數(shù)據(jù)來執(zhí)行命令，最終獲取服務(wù)器最高權(quán)限。

漏洞影響范圍:

Apache Spark作為當(dāng)前大數(shù)據(jù)處理的主流基礎(chǔ)軟件之一，廣泛用于工業(yè)界與學(xué)術(shù)界，作為底層功能供上層應(yīng)用使用，使用范圍較廣。若上層應(yīng)用使用了受影響的API接口，則可能導(dǎo)致攻擊者利用該漏洞執(zhí)行命令來獲取服務(wù)器最高權(quán)限。

目前受影響的Apache Spark版本：

Apache Spark < 3.1.3

Apache Spark < 3.2.2