Apache spark shell注入漏洞

Apache Spark shell 命令注入漏洞（CVE-2022-33891）风险通告


漏洞描述：
Apache Spark于 7 月 18 日发布了最新的安全公告，其中包含一个 shell 命令注入漏洞(CVE-2022-33891)。
Apache Spark UI 提供了通过配置选项 spark.acls.enable 启用 ACL 的可能性。使用身份验证过滤器，这将检查用户是否具有查看或修改应用程序的访问权限。
如果启用了 ACL，则HttpSecurityFilter中的代码路径可以允许某人通过提供任意用户名来执行模拟。恶意用户可能能够访问权限检查功能，该功能最终将根据他们的输入构建一个 Unix shell 命令并执行它。这将导致任意 shell 命令执行，因为用户 Spark 当前正在运行。
Spark 是用于大规模数据处理的统一分析引擎。它提供了 Scala、Java、Python 和 R 中的高级 API，以及支持用于数据分析的通用计算图的优化引擎。

漏洞编号：
CVE-2022-33891

漏洞等级：
重要级，CVSS评分暂未给出

受影响的版本：
Apache Spark <= 3.0.3
Apache Spark 3.1.1 到 3.1.2
以及Apache Spark 3.2.0 到 3.2.1

安全版本：
升级到受支持的 Apache Spark 3.1.3、3.2.2、3.3.0 或更高版本。

官方下载链接： https://spark.apache.org/downloads.html

Apache Spark shell 命令注入漏洞（CVE-2022-33891）风险通告


漏洞描述：
Apache Spark于 7 月 18 日发布了最新的安全公告，其中包含一个 shell 命令注入漏洞(CVE-2022-33891)。
Apache Spark UI 提供了通过配置选项 spark.acls.enable 启用 ACL 的可能性。使用身份验证过滤器，这将检查用户是否具有查看或修改应用程序的访问权限。
如果启用了 ACL，则HttpSecurityFilter中的代码路径可以允许某人通过提供任意用户名来执行模拟。恶意用户可能能够访问权限检查功能，该功能最终将根据他们的输入构建一个 Unix shell 命令并执行它。这将导致任意 shell 命令执行，因为用户 Spark 当前正在运行。
Spark 是用于大规模数据处理的统一分析引擎。它提供了 Scala、Java、Python 和 R 中的高级 API，以及支持用于数据分析的通用计算图的优化引擎。

漏洞编号：
CVE-2022-33891

漏洞等级：
重要级，CVSS评分暂未给出

受影响的版本：
Apache Spark <= 3.0.3
Apache Spark 3.1.1 到 3.1.2
以及Apache Spark 3.2.0 到 3.2.1

安全版本：
升级到受支持的 Apache Spark 3.1.3、3.2.2、3.3.0 或更高版本。

官方下载链接： https://spark.apache.org/downloads.html