Apache Spark UI 命令注入漏洞（CVE-2022-33891）

OSCS(开源软件供应链安全社区)推出免费的漏洞、投毒情报订阅服务，社区用户可通过机器人订阅情报信息：https://www.oscs1024.com/?src=csdn

漏洞概述

7月18日，OSCS 监测到 Apache 发布安全公告，修复了一个 Apache Spark UI 中存在的命令注入漏洞。漏洞编号：CVE-2022-33891，漏洞威胁等级：高危。

Apache Spark 是美国阿帕奇（Apache）软件基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎。

如果Apache Spark UI启用了 ACL，则HttpSecurityFilter 中的代码路径允许通过提供任意用户名来模拟执行。恶意用户能够访问权限检查功能，根据他们的输入构建一个 Unix shell 命令并执行。攻击者可利用此漏洞任意执行 shell 命令。

鉴于该漏洞危害较大且 POC 已公开，建议用户尽快自查修复。

漏洞评级：高危

影响项目：Apache Spark

**影响版本：

org.apache.spark:spark-core_2.12@(∞, 3.1.3)

org.apache.spark:spark-core_2.12@[3.2.0, 3.2.2)

org.apache.spark:spark-core_2.13@[3.2.0, 3.2.2)**

排查方式：获取 spark 版本，判断其版本是否在 (∞, 3.1.3)、\[3.2.0, 3.2.2)、\[3.2.0, 3.2.2)范围中

更多漏洞详细信息可进入 OSCS 社区查看：

https://www.oscs1024.com/hd/MPS-2022-19085

处置建议

升级 Apache Spark 到 3.1.3、3.2.2 或 3.3.0 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-19085

 

https://www.openwall.com/lists/oss-security/2022/07/17/1

了解更多

1、免费使用 OSCS 的情报订阅服务

OSCS (开源软件供应链安全社区)通过最快、最全的方式，发布开源项目最新的安全风险动态，包括开源组件安全漏洞、事件等信息，社区用户可通过企微、钉钉、飞书机器人等方式订阅情报信息，具体订阅方式详见：

https://www.oscs1024.com/docs/vuln-warning/intro/?src=wx