亚洲精品中文免费|亚洲日韩中文字幕制服|久久精品亚洲免费|一本之道久久免费

      

          

            <dl id="hur0q"><div id="hur0q"></div></dl>
                Apache Spark UI 命令注入漏洞(CVE33891)
                  用戶投稿  ?  ? 社會(huì)
                OSCS(開(kāi)源軟件供應(yīng)鏈安全社區(qū))推出免費(fèi)的漏洞、投毒情報(bào)訂閱服務(wù),社區(qū)用戶可通過(guò)機(jī)器人訂閱情報(bào)信息:https://www.oscs1024.com/?src=csdn
                漏洞概述
                7月18日,OSCS 監(jiān)測(cè)到 Apache 發(fā)布安全公告,修復(fù)了一個(gè) Apache Spark UI 中存在的命令注入漏洞。漏洞編號(hào):CVE-2022-33891,漏洞威脅等級(jí):高危。
                Apache Spark 是美國(guó)阿帕奇(Apache)軟件基金會(huì)的一款支持非循環(huán)數(shù)據(jù)流和內(nèi)存計(jì)算的大規(guī)模數(shù)據(jù)處理引擎。
                如果Apache Spark UI啟用了 ACL,則HttpSecurityFilter 中的代碼路徑允許通過(guò)提供任意用戶名來(lái)模擬執(zhí)行。惡意用戶能夠訪問(wèn)權(quán)限檢查功能,根據(jù)他們的輸入構(gòu)建一個(gè) Unix shell 命令并執(zhí)行。攻擊者可利用此漏洞任意執(zhí)行 shell 命令。
                鑒于該漏洞危害較大且 POC 已公開(kāi),建議用戶盡快自查修復(fù)。
                漏洞評(píng)級(jí):高危
                影響項(xiàng)目:Apache Spark
                影響版本:org.apache.spark:spark-core_2.12@( , 3.1.3)org.apache.spark:spark-core_2.12@[3.2.0, 3.2.2)org.apache.spark:spark-core_2.13@[3.2.0, 3.2.2)
                排查方式:獲取 spark 版本,判斷其版本是否在 ( , 3.1.3)、[3.2.0, 3.2.2)、[3.2.0, 3.2.2)范圍中
                更多漏洞詳細(xì)信息可進(jìn)入 OSCS 社區(qū)查看:
                https://www.oscs1024.com/hd/MPS-2022-19085
                處置建議
                升級(jí) Apache Spark 到 3.1.3、3.2.2 或 3.3.0 或更高版本
                參考鏈接
                https://www.oscs1024.com/hd/MPS-2022-19085
                https://www.openwall.com/lists/oss-security/2022/07/17/1
                了解更多
                1、免費(fèi)使用 OSCS 的情報(bào)訂閱服務(wù)
                OSCS (開(kāi)源軟件供應(yīng)鏈安全社區(qū))通過(guò)最快、最全的方式,發(fā)布開(kāi)源項(xiàng)目最新的安全風(fēng)險(xiǎn)動(dòng)態(tài),包括開(kāi)源組件安全漏洞、事件等信息,社區(qū)用戶可通過(guò)企微、釘釘、飛書機(jī)器人等方式訂閱情報(bào)信息,具體訂閱方式詳見(jiàn):
                https://www.oscs1024.com/docs/vuln-warning/intro/?src=wx
                鄭重聲明:本文內(nèi)容及圖片均整理自互聯(lián)網(wǎng),不代表本站立場(chǎng),版權(quán)歸原作者所有,如有侵權(quán)請(qǐng)聯(lián)系管理員(admin#wlmqw.com)刪除。
                  用戶投稿 
                 
                 
                  上一篇 2022年7月20日 15:49
                 
                 下一篇  2022年7月20日 15:50
                 
                相關(guān)推薦
                 
                聯(lián)系我們
                聯(lián)系郵箱:admin#wlmqw.com
                 工作時(shí)間:周一至周五,10:30-18:30,節(jié)假日休息