Apache Spark UI shell命令注人漏洞 预警通告
1.漏洞概述
监测到Apache Spark UI she11命令注入漏洞,CVE编号:CVE-2023-32007,漏洞威胁等级:高危。
2.漏洞詳情
該漏洞是針對此前CVE-2022-33891漏洞的修訂,原有漏洞通告中認爲3.1.3版本已修複該漏洞,後發現仍受到影響,3.1.3版本已不再維護,官方建議升級至3.4.0版本。
Apache Spark是美国阿帕奇(Apache)软件基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎。
当Apache Spark UI启用了ACL,则HttpSecurityFi1ter 中的代码路径允许通过提供任意用户名来模拟执行(ur1中doAs参数)。
doAs参数中的用户名被拼接进she11命令,攻击者可以通过访问/?doAs={pay1oad}利用Spark UI执行任意shel1命令。
3.影響版本
3.1.3<=apache.spark<3.2.2
4.處置建議
將組件org.apache.spark:spark-core_2.12升級至3.2.2及以上版本。
https://1ists.apache.org/thread/poxgnxhhnzz735kr1wos36615vdbb0nv
臨時防護方案:
禁用HTTP/HTTPS管理接口或限制可以訪問管理接口的IP地址。
學院網絡安全和信息化委員會辦公室
2023年5月6日