Apache Spark UI 命令注入漏洞(CVE33891)

OSCS(开源软件供应链安全社区)推出免费的漏洞、投毒情报订阅服务,社区用户可通过机器人订阅情报信息:https://www.oscs1024.com/?src=csdn

漏洞概述

7月18日,OSCS 监测到 Apache 发布安全公告,修复了一个 Apache Spark UI 中存在的命令注入漏洞。漏洞编号:CVE-2022-33891,漏洞威胁等级:高危。

Apache Spark 是美国阿帕奇(Apache)软件基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎。

如果Apache Spark UI启用了 ACL,则HttpSecurityFilter 中的代码路径允许通过提供任意用户名来模拟执行。恶意用户能够访问权限检查功能,根据他们的输入构建一个 Unix shell 命令并执行。攻击者可利用此漏洞任意执行 shell 命令。

鉴于该漏洞危害较大且 POC 已公开,建议用户尽快自查修复。

漏洞评级:高危

影响项目:Apache Spark

影响版本:org.apache.spark:spark-core_2.12@( , 3.1.3)org.apache.spark:spark-core_2.12@[3.2.0, 3.2.2)org.apache.spark:spark-core_2.13@[3.2.0, 3.2.2)

排查方式:获取 spark 版本,判断其版本是否在 ( , 3.1.3)、[3.2.0, 3.2.2)、[3.2.0, 3.2.2)范围中

更多漏洞详细信息可进入 OSCS 社区查看:

https://www.oscs1024.com/hd/MPS-2022-19085

处置建议

升级 Apache Spark 到 3.1.3、3.2.2 或 3.3.0 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-19085

https://www.openwall.com/lists/oss-security/2022/07/17/1

了解更多

1、免费使用 OSCS 的情报订阅服务

OSCS (开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息,社区用户可通过企微、钉钉、飞书机器人等方式订阅情报信息,具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/?src=wx

郑重声明:本文内容及图片均整理自互联网,不代表本站立场,版权归原作者所有,如有侵权请联系管理员(admin#wlmqw.com)删除。
(0)
用户投稿
上一篇 2022年7月20日
下一篇 2022年7月20日

相关推荐

  • OPPO突然上架“新机”,80W闪充+前置3200万,首发价仅2439元

    给已经发布的手机新增新版本,要比从头研发一款手机容易得多,因此许多手机厂商也都愿意做这种事,这种新版本要么就是增大了机身储存容量或者运行内存,要么就是改变了配色,不过也不是随便一款…

    2022年6月28日
  • 5G的三大应用场景

    视频加载中… 5G的三大应用场景分别是:一、增强移动宽带(eMBB);二、大规模物联网(MIoT);三、低时延高可靠(URLLC),如如无人驾驶、工业自动化等。下面我们…

    2022年6月27日
  • 头发几天洗一次比较好?哪种洗发水更健康?靠谱的答案来了

    附录: 多久洗一次头 应该根据你的头皮类型来决定 如果是油性头皮的话 建议使用清洁力度柔和的洗发水 每天或隔天清洗一次 如果是干性头皮或中性头皮 建议使用刺激性较低的洗发水 或者使…

    2022年8月15日
  • 善待自己的最好方式,你一定要知道

    大家好 ,“麦田里 的 晚 风 ” 第 222篇 文章 ,记得 点赞 与 关注 ,不断 为你 分享 生活 哲理 与 乐趣 。 人生总有太多的不如意,人总会遇到太多的是非,在悄无声息…

    2022年7月9日
  • 巫师财经错失了什么?

    文丨木子出品丨创业最前线 8月16日,内容创作者“巫师财经”一则关于“恢复全网发视频”的微博,引发了业界广泛关注。 这位2019年爆红的视频内容创作者经历了什么?为何这样一条信息能…

    2022年8月23日
  • 格局,库里做出正确决定!杜兰特很意外,球迷:这才是联盟第一人

    本赛季的库里成功拿下了自己职业生涯第一个fmvp之后,他也毫无疑问地成为了目前的联盟第一人。在受邀成为ESPY颁奖典礼主持人的时候,库里做出来的一个正确决定也凸显了格局。 在节目之…

    2022年7月23日
  • 女性面部白癜风可以化妆吗?

      女性群体患发白癜风疾病的几率一直以来都是不小的,而不同的患者患上此病的病因都不一样,病情也各有差异,因此在治疗和护理上也应该区别对待,比如发生在女性脸上的白斑和手上的白斑就很不…

    2022年8月17日
  • 如果再买帐篷,一定“5不买”,不是挑剔,而是用过之后的教训

    露营是最近很火的一种休闲方式,人们在钢铁水泥的城市中呆久了,就开始向往海滩、丛林、田野等户外的自然生活,在周末或节假日,带上家人,支一顶帐篷,带一些美食、美酒,在花香鸟语的大自然中…

    2022年9月24日
  • 满是漏洞!电商平台"帮"未成年无限制游戏代充

    原标题:电商平台充斥网游代充值服务 “帮”未成年人破解消费限制 代充服务渠道与方式五花八门,或存在违法违规行为 今年寒假期间,一名10岁小孩在某电商平台消费了8000多元,用于购买…

    2022年7月1日
  • 山东一农妇参观博物馆,指着展览柜说:这包是我的!暴露了身份

    文 | 文渊说史 编辑 | 文渊说史 博物馆中的针线包 1974年,山东菏泽市革命纪念馆中,一位白发苍苍的老妇人突然指着展示柜里的破旧针线包,眼含泪花地说道:“老伙计,没想到几十年…

    2022年8月25日

联系我们

联系邮箱:admin#wlmqw.com
工作时间:周一至周五,10:30-18:30,节假日休息