Apache Spark UI shell命令注人漏洞 预警通告
1.漏洞概述
监测到Apache Spark UI she11命令注入漏洞,CVE编号:CVE-2023-32007,漏洞威胁等级:高危。
2.漏洞详情
该漏洞是针对此前CVE-2022-33891漏洞的修订,原有漏洞通告中认为3.1.3版本已修复该漏洞,后发现仍受到影响,3.1.3版本已不再维护,官方建议升级至3.4.0版本。
Apache Spark是美国阿帕奇(Apache)软件基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎。
当Apache Spark UI启用了ACL,则HttpSecurityFi1ter 中的代码路径允许通过提供任意用户名来模拟执行(ur1中doAs参数)。
doAs参数中的用户名被拼接进she11命令,攻击者可以通过访问/?doAs={pay1oad}利用Spark UI执行任意shel1命令。
3.影响版本
3.1.3<=apache.spark<3.2.2
4.处置建议
将组件org.apache.spark:spark-core_2.12升级至3.2.2及以上版本。
https://1ists.apache.org/thread/poxgnxhhnzz735kr1wos36615vdbb0nv
临时防护方案:
禁用HTTP/HTTPS管理接口或限制可以访问管理接口的IP地址。
学院网络安全和信息化委员会办公室
2023年5月6日