【高危】- Apache Spark远程代码执行漏洞通告(CVE-2020-9480)
■ 漏洞描述
Apache Spark 发布安全通告,报告了Apache Spark新版本修复的一个远程代码执行漏洞。远程攻击者通过对Apache Spark 中的Master发送特定的RPC(远程过程调用)来完成远程代码执行攻击。鉴于该漏洞影响较大,建议各位老师尽快自查修复。
Apache Spark 是一个快捷通用的集群计算系统。Spark 的 Master Web UI 默认端口为 8080。外部用户可以使用默认端口访问 Master 节点的数据信息。在Apache Spark 2.4.5和之前版本,一个独立资源管理器的Master可被设置为通过共享密钥(shared secret)来完成认证。
当默认开启时,一个对于Master的特定的RPC(远端过程调用)可在不使用共享密钥(shared secret)的情况下来启动Spark Cluster上的应用资源,这可被用来在远程主机上执行shell命令。该漏洞并不影响Spark Clusters使用其他资源管理器(yarn,mesos等)。
■ 影响范围
Apache Spark <= 2.4.5
■ 漏洞检测
检测方法:
1、查看系统版本。
■ 漏洞修复
建议尽快升级至修复版本,升级链接如下: https://spark.apache.org/downloads.html
■ 临时修复
1、暂时无法升级,添加访问限制。
■ 漏洞详情
https://spark.apache.org/security.html
Apache Spark 发布安全通告,报告了Apache Spark新版本修复的一个远程代码执行漏洞。远程攻击者通过对Apache Spark 中的Master发送特定的RPC(远程过程调用)来完成远程代码执行攻击。鉴于该漏洞影响较大,建议各位老师尽快自查修复。
Apache Spark 是一个快捷通用的集群计算系统。Spark 的 Master Web UI 默认端口为 8080。外部用户可以使用默认端口访问 Master 节点的数据信息。在Apache Spark 2.4.5和之前版本,一个独立资源管理器的Master可被设置为通过共享密钥(shared secret)来完成认证。
当默认开启时,一个对于Master的特定的RPC(远端过程调用)可在不使用共享密钥(shared secret)的情况下来启动Spark Cluster上的应用资源,这可被用来在远程主机上执行shell命令。该漏洞并不影响Spark Clusters使用其他资源管理器(yarn,mesos等)。
■ 影响范围
Apache Spark <= 2.4.5
■ 漏洞检测
检测方法:
1、查看系统版本。
■ 漏洞修复
建议尽快升级至修复版本,升级链接如下: https://spark.apache.org/downloads.html
■ 临时修复
1、暂时无法升级,添加访问限制。
■ 漏洞详情
https://spark.apache.org/security.html