安全通告
Apache Spark命令注入漏洞安全风险通告
发布日期:2022-3-30
漏洞描述
近日,监测到Apache Spark命令注入漏洞细节在互联网上流传。当Spark任务的文件名可控时,‘Utils.unpack’采用命令拼接的形式对tar文件进行解压,存在任意命令注入的风险。这是源于Hadoop中unTar函数存在问题,在其执行shell命令之前未正确转义文件名,直接拼接命令导致任意命令注入。
目前,此漏洞细节已在互联网上流传。鉴于此漏洞细节已公开,建议客户尽快做好自查及防护。
漏洞危害
攻击者可利用该漏洞注入任意命令,导致命令执行。
漏洞等级
高危
受影响版本
Spark Core 3.1.2, 3.2.1
不受影响版本
Spark Core 3.1.3, 3.2.2
修复方案
目前,Apache Spark官方已针对此漏洞提交修复补丁,请参照以下链接安装补丁更新:
https://github.com/apache/spark/commit/057c051285ec32c665fb458d0670c1c16ba536b2
https://github.com/apache/spark/tree/057c051285ec32c665fb458d0670c1c16ba536b2
参考链接
- https://github.com/apache/spark/commit/057c051285ec32c665fb458d0670c1c16ba536b2
- https://github.com/apache/spark/pull/35946