-
-
[原创]CVE-2020-9480:Apache Spark RCE漏洞风险通告
-
2020-6-24 17:52
-
Apache Spark更新发布了Apache Spark 2.4.5和更早版本中存在远程代码执行漏洞的安全公告。
【漏洞编号】CVE-2020-9480
【漏洞等级】高危
【漏洞概述】
由于Spark的认证机制存在缺陷,导致共享密钥认证失效。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的过程调用指令,启动Spark集群上的应用程序资源,获得目标服务器的权限,实现远程代码执行。
【漏洞版本】
Apache Spark < = 2.4.5
【安全版本】
Apache Spark 2.4.6 或 3.0以上版本
【漏洞修复】
腾讯安全专家建议相关企业及时更新到漏洞修复的版本(Spark 2.4.6或3.0.0以上版本),或采用腾讯安全解决方案检测漏洞利用。
Apache官方在6月5日发布Apache Spark 2.4.6,建议通过官方网站下载:http://spark.apache.org/security.html
【腾讯安全解决方案】
腾讯主机安全(云镜)已支持检测服务器是否存在Apache Spark远程代码执行漏洞。
【关于Apache Spark 】
Apache Spark 是专为大规模数据处理而设计的快速通用的计算引擎。根据公告,Spark的认证机制存在缺陷,攻击者可以利用该缺陷远程启动Spark集群上的应用程序资源,从而造成任意命令执行。
参考链接:
https://github.com/apache/spark/releases
[培训]内核驱动高级班,冲击BAT一流互联网大厂工 作,每周日13:00-18:00直播授课
