CVE-2020-9480: Apache Spark 遠程代碼執行漏洞通告
360-CERT [三六零CERT](javascript:void(0)😉 前天
0x00 漏洞背景
2020年06月24日, 360CERT監測發現 Apache Spark 官方 發佈了 Apache Spark 遠程代碼執行 的風險通告,該漏洞編號爲 CVE-2020-9480,漏洞等級:高危。
Apache Spark是一個開源集羣運算框架,專爲大規模數據處理而設計的快速通用的計算引擎,Spark是UC Berkeley AMP lab (加州大學伯克利分校的AMP實驗室)所開源的類Hadoop MapReduce的通用並行框架。
在Apache Spark 2.4.5以及更早版本中,獨立資源管理器的主服務器可能被配置爲需要通過共享密鑰進行身份驗證(spark.authenticate)。然而,由於Spark的認證機制存在缺陷,導致共享密鑰認證失效。攻擊者利用該漏洞,可在未授權的情況下,在主機上執行命令,造成遠程代碼執行。
對此,360CERT建議廣大用戶及時安裝最新補丁,做好資產自查以及預防工作,以免遭受黑客攻擊。
0x01 風險等級
360CERT對該漏洞的評定結果如下
| 評定方式 | 等級 |
|---|---|
| 威脅等級 | 高危 |
| 影響面 | 一般 |
0x02 漏洞詳情
在Apache Spark 2.4.5以及更早版本中,獨立資源管理器的主服務器可能被配置爲需要通過共享密鑰進行身份驗證(spark.authenticate)。然而,由於Spark的認證機制存在缺陷,導致共享密鑰認證失效。攻擊者利用該漏洞,可在未授權的情況下,在主機上執行命令,造成遠程代碼執行。
0x03 影響版本
- Apache Spark:<=2.4.5
0x04 修復建議
通用修補建議:
升級到Spark 2.4.6 或者 Spark 3.0.0 版本,下載地址爲:
https://github.com/apache/spark/releases
0x05 相關空間測繪數據
360安全大腦-Quake網絡空間測繪系統通過對全網資產測繪,發現Spark在全球廣泛使用,具體分佈如下圖所示。
0x06 產品側解決方案
360城市級網絡安全監測服務
360安全大腦的QUAKE資產測繪平臺通過資產測繪技術手段,對該類 漏洞 進行監測,請用戶聯繫相關產品區域負責人獲取對應產品。
0x07 時間線
2020-06-24 Apache Spark 發佈漏洞通告
2020-06-24 360CERT發佈預警
0x08 參考鏈接
CVE-2020-9480: Apache Spark RCE vulnerability in auth-enabled standalone master
[https://spark.apache.org/security.html#CVE-2020-9480]
轉載自https://mp.weixin.qq.com/s/bHHtgW6MQQOgTl0GXs3JEA