漏洞描述:
Apache Spark于 7 月 18 日发布了最新的安全公告,其中包含一个 shell 命令注入漏洞(CVE-2022-33891)。
Apache Spark UI 提供了通过配置选项 spark.acls.enable 启用 ACL 的可能性。使用身份验证过滤器,这将检查用户是否具有查看或修改应用程序的访问权限。
如果启用了 ACL,则HttpSecurityFilter中的代码路径可以允许某人通过提供任意用户名来执行模拟。恶意用户可能能够访问权限检查功能,该功能最终将根据他们的输入构建一个 Unix shell 命令并执行它。这将导致任意 shell 命令执行,因为用户 Spark 当前正在运行。
Spark 是用于大规模数据处理的统一分析引擎。它提供了 Scala、Java、Python 和 R 中的高级 API,以及支持用于数据分析的通用计算图的优化引擎。
腾讯安全专家建议受影响的用户升级到安全版本。
漏洞编号:
CVE-2022-33891
漏洞等级:
重要级,CVSS评分暂未给出
漏洞状态:
漏洞细节 | POC | EXP | 在野利用 |
|---|---|---|---|
已公开 | 已公开 | 已发现 | 未知 |
受影响的版本:
Apache Spark <= 3.0.3
Apache Spark 3.1.1 到 3.1.2
以及Apache Spark 3.2.0 到 3.2.1
漏洞复现与验证:
腾讯安全专家对该漏洞进行了复现验证安全版本:
升级到受支持的 Apache Spark 3.1.3、3.2.2、3.3.0 或更高版本。
漏洞修复与缓解方案:
腾讯安全专家建议用户及时将Apache Spark升级到3.1.3、3.2.2或3.3.0或更高版本。
官方下载链接: https://spark.apache.org/downloads.html
腾讯安全解决方案:
- 腾讯T-Sec容器安全产品已支持检测企业容器镜像是否存在Apache Spark shell 命令注入漏洞
- 腾讯高级威胁检测系统(御界)已支持检测利用Apache Spark shell 命令注入漏洞的攻击活动;
- 腾讯云防火墙已支持检测防御利用Apache Spark shell 命令注入漏洞的攻击活动;
- 腾讯主机安全(云镜)已支持检测企业资产是否存在Apache Spark shell 命令注入漏洞
- 腾讯Web应用防火墙(WAF)已支持检测防御利用Apache Spark shell 命令注入漏洞的攻击活动
参考链接:
https://seclists.org/oss-sec/2022/q3/51
https://lists.apache.org/thread/p847l3kopoo5bjtmxrcwk21xp6tjxqlc
