真人一级毛片免费_中文字幕乱码人妻一区二区在线_久久国产AV尤物尤物尤物_av无码理论片在线观看免费网站

0757-86231086

新聞詳情

Apache Spark Shell 命令注入漏洞 CVE-2022-33891
發(fā)布時間:2022-07-22

組件介紹

Apache Spark是一個開源集群運(yùn)算框架,最初由加州大學(xué)柏克萊分校AMPLab開發(fā)。相對于Hadoop的MapReduce會在執(zhí)行完工作后將中介資料存放到磁盤中,Spark使用了存儲器內(nèi)運(yùn)算技術(shù),能在資料尚未寫入硬盤時即在存儲器內(nèi)分析運(yùn)算。

漏洞描述

2022年7月19日,監(jiān)測到一則Apache Spark組件存在命令注入漏洞的信息,漏洞編號:CVE-2022-33891,漏洞威脅等級:高危。

該漏洞源于啟用ACL時,HttpSecurityFilter中的代碼路徑可允許攻擊者冒充任意用戶。攻擊者可利用該漏洞在未授權(quán)的情況下,根據(jù)用戶輸入創(chuàng)建一個Shell命令并執(zhí)行,最終獲取服務(wù)器最高權(quán)限。

影響范圍

目前受影響的Apache Spark版本:

Apache Spark ≤ 3.0.3

3.1.1 ≤ Apache Spark ≤ 3.1.2

3.2.0 ≤ Apache Spark ≤3.2.1