【墨菲安全实验室】Spark(3.1.2, 3.2.1, 3.3.0版本)shell命令注入漏洞

发布时间:2024-04-05 13:01

实验室昨天第一时间监测到的0day漏洞,目前已上线检测

漏洞描述

Spark 是用于大规模数据处理的统一分析引擎。​
由于 Hadoop 中\"org.apache.hadoop.fs.FileUtill\"类的“unTar”中针对 tar 文件的处理调了系统命令去解压,造成了 shell 命令注入的风险。​
攻击者可以通过该漏洞实现任意命令执行。

影响产品:Apache spark

发现时间:2022-03-24 11:12:38

发现方式:墨菲安全实验室情报预警监控

组件名称:org.apache.spark:spark-core

影响版本:3.1.2, 3.2.1, 3.3.0

缺陷类型:shell命令注入

缺陷评级:高危

墨菲安全实验室于3月24日监测发现spark存在shell命令注入漏洞,已第一时间报送CNVD。

漏洞分析

在spark 3.1.2, 3.2.1, 3.3.0版本的 core/src/main/scala/org/apache/spark/util/Utils.scala 代码中调用了FileUtil.unTar方法对tar包进行解压
\"【墨菲安全实验室】Spark(3.1.2,
FileUtil.unTar方法在非windows的环境中调用了unTarUsingTar方法
\"【墨菲安全实验室】Spark(3.1.2,

Spark中调用的unTarUsingTar方法为hadoop中的hadoop-common-project/hadoop-common/src/main/java/org/apache/hadoop/fs/FileUtil.java,其对文件名拼接之后通过tar命令进行解压,在处理过程中未对文件名进行转义。
\"【墨菲安全实验室】Spark(3.1.2,

处置建议

官方已发布补丁,参考链接:https://github.com/apache/spark/commit/057c051285ec32c665fb458d0670c1c16ba536b2

墨菲安全已于昨天第一时间将漏洞上报CNVD,并同步上线了检测能力,目前墨菲安全开源版及企业版已支持检测,欢迎大家免费使用。

开源地址:https://github.com/murphysecurity
产品官网:https://www.murphysec.com/(限时开放注册)

参考链接

https://github.com/apache/spark/commit/057c051285ec32c665fb458d0670c1c16ba536b2
https://issues.apache.org/jira/browse/SPARK-38631
https://github.com/apache/hadoop/blob/trunk/hadoop-common-project/hadoop-common/src/main/java/org/apache/hadoop/fs/FileUtil.java#L892
https://github.com/apache/hadoop/commit/cae749b076f35f0be13a926ee8cfbb7ce4402746

ItVuer - 免责声明 - 关于我们 - 联系我们

本网站信息来源于互联网,如有侵权请联系:561261067@qq.com

桂ICP备16001015号