服务公告

全部公告 > 安全公告 > Apache Spark 命令注入漏洞预警(CVE-2022-33891)

Apache Spark 命令注入漏洞预警(CVE-2022-33891)

2022-07-19

一、概要

近日华为云关注到Apache Spark官方发布安全公告,披露在Apache Spark特定版本中存在一处命令注入漏洞(CVE-2022-33891)。Apache Spark UI具有ACL机制,当开启ACL后,攻击者可利用漏洞冒充任意用户进行任意命令注入并执行。

Apache Spark 是一个开源的大数据处理框架。华为云提醒使用Apache Spark的用户尽快安排自检并做好安全加固。

参考链接:https://spark.apache.org/security.html

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急) 

三、漏洞影响范围

影响版本:

Apache Spark =< 3.0.3

Apache Spark 3.1.1 - 3.1.2

Apache Spark 3.2.0 - 3.2.1

安全版本:

Apache Spark >= 3.3.0

Apache Spark >= 3.1.3

Apache Spark >= 3.2.2 

四、漏洞处置

目前,官方已发布新版本修复了该漏洞,请受影响的用户升级到安全版本:

https://github.com/apache/spark/tags

注:修复漏洞前请将资料备份,并进行充分测试。