OSCS(开源软件供应链安全社区)推出免费的漏洞、投毒情报订阅服务,社区用户可通过机器人订阅情报信息,具体订阅方式详见:https://www.oscs1024.com/?src=wx
漏洞概述
7月18日,OSCS监测到Apache发布安全公告,修复了一个Apache Spark UI中存在的命令注入漏洞。漏洞编号:CVE-2022-33891,漏洞威胁等级:高危。
Apache Spark是美国阿帕奇(Apache)软件基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎。
如果Apache Spark UI 通过配置选项Spark.acl.enable启用了 ACL的可能性。则 HttpSecurityFilter 中的代码路径允许通过提供任意用户名来模拟执行。恶意用户能够访问权限检查功能,根据他们的输入构建一个 Unix shell 命令并执行。攻击者可利用此漏洞任意执行shell 命令。
鉴于该漏洞危害较大且 POC 已公开,建议用户尽快自查修复。
漏洞评级:高危
影响项目:Apache Spark
影响版本:
org.apache.spark:spark-core_2.12@(∞, 3.1.3)
org.apache.spark:spark-core_2.12@[3.2.0, 3.2.2)
org.apache.spark:spark-core_2.13@[3.2.0, 3.2.2)
排查方式:获取spark版本,判断其版本是否在 (∞, 3.1.3)、[3.2.0, 3.2.2)、[3.2.0, 3.2.2)范围中
更多漏洞详细信息可进入OSCS社区查看:https://www.oscs1024.com/hd/MPS-2022-19085
处置建议:
升级Apache Spark 到 3.1.3、3.2.2 或 3.3.0 或更高版本
参考链接:
https://www.oscs1024.com/hd/MPS-2022-19085
发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/vulnerability-analysis/4351.html
