组件介绍
Apache Spark是一个开源集群运算框架,最初由加州大学柏克莱分校AMPLab开发。相对于Hadoop的MapReduce会在执行完工作后将中介资料存放到磁盘中,Spark使用了存储器内运算技术,能在资料尚未写入硬盘时即在存储器内分析运算。
漏洞描述
2022年7月19日,监测到一则Apache Spark组件存在命令注入漏洞的信息,漏洞编号:CVE-2022-33891,漏洞威胁等级:高危。
该漏洞源于启用ACL时,HttpSecurityFilter中的代码路径可允许攻击者冒充任意用户。攻击者可利用该漏洞在未授权的情况下,根据用户输入创建一个Shell命令并执行,最终获取服务器最高权限。
影响范围
目前受影响的Apache Spark版本:
Apache Spark ≤ 3.0.3
3.1.1 ≤ Apache Spark ≤ 3.1.2
3.2.0 ≤ Apache Spark ≤3.2.1