UCloud-202006-003:Apache Spark远程代码执行漏洞安全警告
官方公告作者:U大使日期:2020-10-22点击:245
2020-06-24 16:56:39
发布时间 2020-06-23
更新时间 2020-06-23
漏洞等级 High
CVE编号 CVE-2020-9480
漏洞详情
Apache Spark的独立资源管理器的主服务器可以通过配置共享密钥进行认证(spark.authenticate),但是在认证启用之后,即使没有共享密钥,也可以通过发送到主服务器的精心构造的远程过程调用指令在Spark集群上成功启动应用程序的资源,攻击者可以利用该漏洞在主机上执行任意命令。
影响范围
Apache Spark < = 2.4.5
修复方案
注:升级更新前请做好数据备份、快照和测试工作,防止发生意外
1.Spark 更新到2.4.6或3.0.0以上版本
参考链接
UCloud 云计算团队