信息技术研究所官网
 
 首页  |  简介  |  网络法规  |  安全智库  |  业内动态  |  下载中心 
 
通知公告

中央网信办等三部门印发《信息化标准建设行动计划(2024—2027年)》
未成年人网络保护条例
国家数据局等部门关于印发《“数据要素×”三年行动计划(2024—2026年)》的通知
国家网信办等七部门联合公布《生成式人工智能服务管理暂行办法》
互联网跟帖评论服务管理规定
八部门联合印发《关于推进IPv6技术演进和应用创新发展的实施意见》



 
当前位置: 首页>>正文

关于Apache Spark存在远程代码执行漏洞的安全公告
2020-06-24 13:02     (点击: )

2020623日,国家信息安全漏洞共享平台(CNVD)收录了Apache Spark远程代码执行漏洞(CNVD-2020-34445,对应CVE-2020-9480)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。目前,漏洞相关细节尚未公开,厂商已发布补丁进行修复。

一、漏洞情况分析

Apache Spark 是专为大规模数据处理而设计的快速通用的计算引擎。Apache Spark 是一种与 Hadoop 相似的开源集群计算环境,启用了内存分布数据集,除了能够提供交互式查询外,它还可以优化迭代工作负载。Apache Spark 是在 Scala 语言中实现的,它将 Scala 用作其应用程序框架。

2020623日,国家信息安全漏洞共享平台(CNVD)收录了由杭州安恒信息技术股份有限公司报送的Apache Spark远程代码执行漏洞。由于Spark的认证机制存在缺陷,导致共享密钥认证失效。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的过程调用指令,启动Spark集群上的应用程序资源,获得目标服务器的权限,实现远程代码执行。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品版本包括:

Apache Spark < =2.4.5

三、漏洞处置建议

目前,Apache官方已发布新版本修复此漏洞,CNVD建议用户立即升级至最新版本:

https://github.com/apache/spark/releases

附:参考链接:

   https://github.com/apache/spark/releases


关闭窗口

地址:天津市西青区宾水西道391号天津理工大学8号楼308A 邮编:300384 电话:022-60215511   email:zxx(a)tjut.edu.cn  (a)替换成@
版权所有:天津理工大学网络安全和信息化办公室