Apache Spark 远程代码执行漏洞(CVE-2020-9480)

来源:scanv2020.06.24

一 漏洞概述

2020年06月24日,Apache Spark 官方 发布了 Apache Spark 远程代码执行 的风险通告,该漏洞编号为 CVE-2020-9480,漏洞等级为高危。
Apache Spark是一个开源集群运算框架,专为大规模数据处理而设计的快速通用的计算引擎,Spark是UC Berkeley AMP lab (加州大学伯克利分校的AMP实验室)所开源的类Hadoop MapReduce的通用并行框架。
在Apache Spark 2.4.5以及更早版本中,独立资源管理器的主服务器可能被配置为需要通过共享密钥进行身份验证(spark.authenticate)。然而,由于Spark的认证机制存在缺陷,导致共享密钥认证失效。攻击者利用该漏洞,可在未授权的情况下,在主机上执行命令,造成远程代码执行。
知道创宇建议广大用户及时安装最新补丁,做好资产自查以及预防工作,以免遭受黑客攻击。

二 影响版本

Apache Spark:<=2.4.5

三 复现过程

四 修复建议

建议用户升级到Spark 2.4.6 或者 Spark 3.0.0 版本,下载地址为:https://github.com/apache/spark/releases

五 时间线

官方发布漏洞风险通告时间:2020年6月24日

知道创宇发布漏洞情报时间:2020年6月24日

六 相关链接

Apache:https://spark.apache.org/security.html#CVE-2020-9480

ZoomEye 网络空间搜索引擎:https://www.zoomeye.org/searchResult/report?q=app%3A%22Apache%20Spark%22

热门文章

  • Kubernetes容器节点漏洞(CVE-2020-8558)

    Kubernetes存在一个容器漏洞(CVE-2020-8558),攻击者可能通过共享主机网络的容器,或在集群节点上访问同一个二层网络下的相邻节点上绑定监听了本地127.0.0.1端口的TCP/UDP服务,从而获取接口信息。如果服务没有设置必要的安全认证,可能造成信息泄露风险。

  • Citrix产品多个安全漏洞

    2020年7月7日,Citrix官方发布安全公告,在Citrix ADC、Citrix网关和Citrix SD-WAN WANOP 4000-WO、4100-WO、5000-WO和5100-WO版本中发现了多个漏洞。

  • PAN-OS GlobalProtect portal命令注入漏洞(CVE-2020-2034)

    2020年7月8日,Palo Alto Networks发布安全公告,修复了一个PAN-OS GlobalProtect portal中的命令注入漏洞(CVE-2020-2034),该漏洞导致未经身份验证的攻击者可在受影响的设备上以root权限执行任意OS命令。

关注知道创宇云安全

获取安全动态