Apache Spark
漏洞描述
Apache Spark 是一款支持非循环数据流和内存计算的大规模数据处理引擎。
Apache Spark 受影响版本会在 UI 展示恶意日志时执行 JavaScript 代码,这可能导致任意 JavaScript 代码被加载执行。
攻击者利用该漏洞执行任意JavaScript代码。
| 漏洞名称 | Apache Spark |
|---|---|
| 漏洞类型 | XSS |
| 发现时间 | 2022-05-27 |
| 漏洞影响广度 | 广 |
| MPS编号 | MPS-2022-16687 |
| CVE编号 | CVE-2022-31777 |
| CNVD编号 | - |
影响范围
org.apache.spark:spark-core_2.12@(-∞, 3.2.2)
org.apache.spark:spark-core_2.12@[3.3.0, 3.3.1)
org.apache.spark:spark-core_2.13@(-∞, 3.2.2)
org.apache.spark:spark-core_2.13@[3.3.0, 3.3.1)
org.apache.spark:spark-core_2.11@(-∞, 2.4.8]
org.apache.spark:spark-core_2.10@(-∞, 2.2.3]
修复方案
将组件 org.apache.spark:spark-core_2.13 升级至 3.3.1 及以上版本
变更为 org.apache.spark:spark-core_2.12 并升级到 3.2.2 或 3.3.1 或更高版本
变更为 org.apache.spark:spark-core_2.13 并升级到 3.2.2 或 3.3.1 或更高版本
将组件 org.apache.spark:spark-core_2.12 升级至 3.2.2 及以上版本
将组件 org.apache.spark:spark-core_2.12 升级至 3.3.1 及以上版本
将组件 org.apache.spark:spark-core_2.13 升级至 3.2.2 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-2022-16687
https://nvd.nist.gov/vuln/detail/CVE-2022-31777
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
OpenSSL 发布 3.0.7 修复两个“高危”漏洞
OpenSSL 已发布 3.0.7 修复两个高危漏洞:CVE-2022-3786 和 CVE-2022-3602。官方建议 OpenSSL 3.0.x 用户应升级到 OpenSSL 3.0.7,因为这两个漏洞影响 OpenSSL 3.0.0 至 3.0.6 版本,不影响OpenSSL 1.1.1 和 1.0.2。 OpenSSL 团队表示,目前尚未发现利用上述漏洞的案例。此外,由于 OpenSSL 不会跟踪项目的使用情况,所以也没有关于受影响的服务器的统计数据。只是建议用户升级到最新版本。 CVE-2022-3602 漏洞最初被 OpenSSL 团队评估为"CRITICAL"(严重)等级——因为可能会导致 RCE,但经过测试和评估,该漏洞在 2022 年 11 月 1 日被降级为"HIGH"(高危)。 CVE-2022-3602:X.509 电子邮件地址 4 字节缓冲区溢出漏洞 由于 OpenSSL 3.0.0 - 3.0.6 版本中在 X.509 证书验证中存在缓冲区溢出漏洞,可以通过制作恶意电子邮件地址以溢出堆栈上的 4 个字节,成功利用此漏洞可用于发起 Dos 攻击或远程代码执行...
- 下一篇
Apache DolphinScheduler <3.0.0 存在路径遍历漏洞
漏洞描述 Apache DolphinScheduler 是一个分布式去中心化,易扩展的可视化DAG工作流任务调度平台。 Apache DolphinScheduler 在3.0.0之前的版本中由于缺少对文件名的校验从而存在路径遍历漏洞,已经登录的攻击者可利用此漏洞使用关系路径向资源中心添加资源时通过构造恶意文件名(如“../../a.txt”)访问系统中的敏感文件,进而获取系统敏感信息。 漏洞名称 Apache DolphinScheduler <3.0.0 存在路径遍历漏洞 漏洞类型 路径遍历 发现时间 2022-11-01 漏洞影响广度 极小 MPS编号 MPS-2022-20048 CVE编号 CVE-2022-34662 CNVD编号 - 影响范围 org.apache.dolphinscheduler:dolphinscheduler-api@(-∞, 3.0.0) org.apache.dolphinscheduler:dolphinscheduler-common@(-∞, 3.0.0) 修复方案 升级org.apache.dolphinscheduler:dol...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- CentOS8编译安装MySQL8.0.19
- CentOS6,CentOS7官方镜像安装Oracle11G
- CentOS7,8上快速安装Gitea,搭建Git服务器
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- MySQL8.0.19开启GTID主从同步CentOS8
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- Red5直播服务器,属于Java语言的直播服务器
- CentOS6,7,8上安装Nginx,支持https2.0的开启
微信收款码
支付宝收款码