请选择 进入手机版 | 继续访问电脑版

HTML5星空

【漏洞预警】Apache Spark集群框架远程执行代码漏洞CVE-2020-9480

[复制链接]
发表于 2020-6-28 18:29:33 | 显示全部楼层 |阅读模式

在Apache Spark 2.4.5和更早版本中,独立资源管理器的主服务器可以配置为要求通过共享密钥(spark.authenticate)进行认证。但是,由于Spark身份验证机制的缺陷,共享密钥身份验证失败。攻击者可能利用此漏洞在未经授权的情况下在主机上执行命令,从而导致远程执行代码。


漏洞详情

在Apache Spark 2.4.5和更早版本中,可以将独立资源管理器的主服务器配置为要求spark.authenticate通过共享密钥进行身份验证()。但是,启用后,即使没有共享密钥,到主服务器的特制RPC也可以成功启动Spark集群上的应用程序资源。可以利用它在主机上执行Shell命令。


受影响的版本

Apache Spark:<= 2.4.5


解决方法:

升级到Spark版本2.4.6或Spark版本3.0.0。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

更多资源及Java+大数据个人原创视频,
可关注本站官方公众号观看:
快讯

     京ICP备14042305号

html5star team © 2012-2013 html5星空 Comsenz Inc.

GMT+8, 2020-7-11 03:52 , Processed in 0.421401 second(s), 36 queries .

快速回复 返回顶部 返回列表