资讯首页 新闻资讯 云计算测评 云服务商动态 技术频道
上云无忧 > 云计算资讯  > 技术频道 > CVE-2020-9480:Apache Spark 远程代码执行漏洞

CVE-2020-9480:Apache Spark 远程代码执行漏洞

发布时间: 2020-06-24 19:29:06|浏览量:359| 评论: 0


金山云安全应急响应中心监测到Apache Spark披露了一个远程代码执行漏洞,攻击者可以利用该漏洞在主机上执行任意命令。


该漏洞利用门槛低影响面大,建议用户及时更新到安全版本,做好资产自查及预防工作,避免不必要的损失。

漏洞名称
Apache Spark 远程代码执行漏洞(CVE-2020-9480)

风险等级
高危

漏洞描述
Apache Spark 是专为大规模数据处理而设计的快速通用的计算引擎。Apache Spark的独立资源管理器的主服务器可以通过配置共享密钥进行认证(spark.authenticate),但是在认证启用之后,即使没有共享密钥,也可以通过发送到主服务器的精心构造的远程过程调用指令在Spark集群上成功启动应用程序的资源,攻击者可以利用该漏洞在主机上执行任意命令。

经金山云安全团队分析,Apache Spark的认证机制存在缺陷, 在开启密钥认证的情况下,未经验证的攻击者仍可通过精心构造的数据包进行远程代码执行。

影响版本
Apache Spark < = 2.4.5

修复建议
更新到Spark 2.4.6或3.0.0以上版本

下载地址:
https://github.com/apache/spark/releases

注:如果可行的话,仅允许受信主机访问集群

参考链接
http://spark.apache.org/security.html

更多【技术频道】相关文章

有话要说

全部评论

暂无评论
官方微信
联系客服
400-826-7010
7x24小时客服热线
分享
  • QQ好友
  • QQ空间
  • 微信
  • 微博
返回顶部