【安全狗漏洞通告】Apache Spark 命令注入漏洞方案

近日，安全狗应急响应中心监测到Apache官方发布了安全更新，修复了Apache Spark的一个命令注入漏洞（CVE-2022-33891）。该漏洞源于程序使用了命令拼接，成功利用此漏洞可导致任意shell命令执行。

目前官方已发布安全版本，安全狗建议受影响的用户尽快采取安全措施。

漏洞描述

Apache Spark是美国阿帕奇（Apache）软件基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎。

Apache Spark存在一处命令注入漏洞（CVE-2022-33891），该漏洞是由于Apache Spark UI提供了通过配置选项spark.acls.enable启用ACL的可能性，HttpSecurityFilter中的代码路径可以通过提供任意用户名来允许某人执行模拟。因此，恶意用户凭借访问权限检查函数最终将基于其输入构建Unix shell命令并执行它。成功利用此漏洞可导致任意shell命令执行。

安全通告信息

官方安全建议

安全建议

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本下载链接：

https://spark.apache.org/downloads.html

注：要确定主机是否受到影响。

【备注】：建议您在升级前做好数据备份工作，避免出现意外