UCloud-202006-003:Apache Spark远程代码执行漏洞安全警告

官方公告作者:U大使日期:2020-10-22点击:143
2020-06-24 16:56:39

发布时间  2020-06-23

更新时间  2020-06-23

漏洞等级  High

CVE编号  CVE-2020-9480

漏洞详情

Apache Spark的独立资源管理器的主服务器可以通过配置共享密钥进行认证(spark.authenticate),但是在认证启用之后,即使没有共享密钥,也可以通过发送到主服务器的精心构造的远程过程调用指令在Spark集群上成功启动应用程序的资源,攻击者可以利用该漏洞在主机上执行任意命令。

影响范围

Apache Spark < = 2.4.5

修复方案

注:升级更新前请做好数据备份、快照和测试工作,防止发生意外

1.Spark 更新到2.4.6或3.0.0以上版本

参考链接

http://spark.apache.org/security.html

https://github.com/apache/spark/releases

UCloud 云计算团队


下一篇       上一篇