【漏洞详情】

Apache Spark是美国阿帕奇（Apache）软件基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎。近期Apache发布安全公告，修复了一个Apache Spark中存在的命令注入漏洞。漏洞编号：CVE-2022-33891。

Apache Spark UI提供了通过配置选项Spark .acl .enable启用acl的可能性。如果启用了acl, HttpSecurityFilter中的代码路径可以允许某人通过提供任意用户名来执行模拟。恶意用户可能能够访问权限检查功能，该功能最终将根据他们的输入构建一个 Unix shell 命令并执行它。 这将导致任意 shell 命令执行。

【风险评级】

高危

【影响范围】

Spark Core - Apache

<=3.0.3

>=3.1.1&&<=3.1.2

>=3.2.0&&<=3.2.1​​

【修复建议】

厂商已发布补丁修复漏洞，用户请尽快更新至安全版本：

Apache Spark 3.1.3、 3.2.2或3.3.0或更高版本

【参考链接】

https://seclists.org/oss-sec/2022/q3/51

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。 

平安金融云

2022年7月19日