Apache Spark更新发布了Apache Spark 2.4.5和更早版本中存在远程代码执行漏洞的安全公告。

漏洞编号：CVE-2020-9480

漏洞等级：高危

漏洞概述

由于Spark的认证机制存在缺陷，导致共享密钥认证失效。攻击者利用该漏洞，可在未授权的情况下，远程发送精心构造的过程调用指令，启动Spark集群上的应用程序资源，获得目标服务器的权限，实现远程代码执行。

漏洞版本

Apache Spark < = 2.4.5

安全版本

Apache Spark 2.4.6 或 3.0以上版本

漏洞修复

腾讯安全专家建议相关企业及时更新到漏洞修复的版本（Spark 2.4.6或3.0.0以上版本），或采用腾讯安全解决方案检测漏洞利用。

Apache官方在6月5日发布Apache Spark 2.4.6，建议通过官方网站下载：http://spark.apache.org/security.html

关于Apache Spark

Apache Spark 是专为大规模数据处理而设计的快速通用的计算引擎。根据公告，Spark的认证机制存在缺陷，攻击者可以利用该缺陷远程启动Spark集群上的应用程序资源，从而造成任意命令执行。 

参考链接：

https://github.com/apache/spark/releases

如若转载，请注明原文地址：