【漏洞通告】Apache Spark命令注入漏洞安全风险通告

安全通告

Apache Spark命令注入漏洞安全风险通告

发布日期:2022-3-30

漏洞描述

近日,监测到Apache Spark命令注入漏洞细节在互联网上流传。当Spark任务的文件名可控时,‘Utils.unpack’采用命令拼接的形式对tar文件进行解压,存在任意命令注入的风险。这是源于Hadoop中unTar函数存在问题,在其执行shell命令之前未正确转义文件名,直接拼接命令导致任意命令注入。

目前,此漏洞细节已在互联网上流传。鉴于此漏洞细节已公开,建议客户尽快做好自查及防护。

漏洞危害

攻击者可利用该漏洞注入任意命令,导致命令执行。

漏洞等级

高危
受影响版本

Spark Core 3.1.2, 3.2.1

不受影响版本

Spark Core 3.1.3, 3.2.2

修复方案

目前,Apache Spark官方已针对此漏洞提交修复补丁,请参照以下链接安装补丁更新:

https://github.com/apache/spark/commit/057c051285ec32c665fb458d0670c1c16ba536b2

https://github.com/apache/spark/tree/057c051285ec32c665fb458d0670c1c16ba536b2

参考链接

  • https://github.com/apache/spark/commit/057c051285ec32c665fb458d0670c1c16ba536b2
  • https://github.com/apache/spark/pull/35946