Apache Spark UI shell 命令注入漏洞
漏洞描述
该漏洞是针对此前CVE-2022-33891漏洞的修订,原有漏洞通告中认为3.1.3版本已修复该漏洞,后发现仍受到影响,3.1.3版本已不再维护,官方建议升级至3.4.0版本。
Apache Spark是美国阿帕奇(Apache)软件基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎。
当Apache Spark UI启用了 ACL,则 HttpSecurityFilter 中的代码路径允许通过提供任意用户名来模拟执行(url中doAs参数)。
doAs参数中的用户名被拼接进shell命令,攻击者可以通过访问/?doAs={payload}利用Spark UI执行任意shell命令。
| 漏洞名称 | Apache Spark UI shell 命令注入漏洞 |
|---|---|
| 漏洞类型 | 命令注入 |
| 发现时间 | 2023-05-02 |
| 漏洞影响广度 | - |
| MPS编号 | MPS-je1w-3xtr |
| CVE编号 | CVE-2023-32007 |
| CNVD编号 | - |
影响范围
org.apache.spark:spark-core_2.12@[3.1.3, 3.2.2)
修复方案
将组件 org.apache.spark:spark-core_2.12 升级至 3.2.2 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-je1w-3xtr
https://nvd.nist.gov/vuln/detail/CVE-2023-32007
https://lists.apache.org/thread/poxgnxhhnzz735kr1wos366l5vdbb0nv
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Rust 桌面 UI 框架 Tauri 发布 1.3.0,支持创建 Windows 应用程序安装包
Tauri 今天正式发布了 1.3.0 版本。 Tauri 是一个桌面 UI 框架,可让开发者使用每个平台的 Webview 技术栈为所有主要桌面操作系统构建应用程序,目前支持 Windows/macOS/Linux 等平台。开发者通过 Tauri 几乎可以使用任何编译为 HTML、JS 和 CSS 的前端框架来构建桌面 UI。 Tauri 核心库采用 Rust 编写,使用 Tauri 开发的应用程序的后端是一个基于 Rust 的二进制文件,带有一个前端可以与之交互的 API,通过 JS Api 调用后台接口。 新版本变化包括安全改进、引入新功能和修复重要错误。 引入 NSIS Tauri CLI 现在可以使用 NSIS 创建 Windows 应用程序安装包。这个新的bundle target 目前作为一项实验性功能在 macOS 和 Linux 上可用,因此开发者可以交叉编译 Windows 安装程序。NSIS 的文档将很快发布。 外部 API 访问 开发团队表示,这是迄今为止最具影响力和最耗时的 PR。此 PR 为应用程序引入了一种简化的方式,允许外部域访问 Tauri IPC 层...
- 下一篇
每日一博 | 从 0 到 1 构建基于自身业务的前端工具库
作者:京东零售 吴迪 前言 在实际项目开发中无论 M 端、PC 端,或多或少都有一个 utils 文件目录去管理项目中用到的一些常用的工具方法,比如:时间处理、价格处理、解析url参数、加载脚本等,其中很多是重复、基础、或基于某种业务场景的工具,存在项目间冗余的痛点以及工具方法规范不统一的问题。 在实际开发过程中,经常使用一些开源工具库,如 lodash,以方便、快捷的进行项目开发。但是当 npm上没有自己中意或符合自身业务的工具时,我们不得不自己动手,此时拥有自己的、基于业务的工具库就显得尤为重要。 我们所熟知的Vue、React等诸多知名前端框架,或公司提供的一些类库,它们是如何开发、构建、打包出来的,本文将带领你了解到如何从0到1构建基于自身业务的前端工具库。 构建工具库主流方案 1. WEBPACK webpack 提供了构建和打包不同模块化规则的库,只是需要自己去搭建开发底层架构。 vue-cli,基于 webpack , vue-cli 脚手架工具可以快速初始化一个 vue 应用,它也可以初始化一个构建库。 2. ROLLUP rollup 是一个专门针对JavaScr...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Hadoop3单机部署,实现最简伪集群
- CentOS关闭SELinux安全模块
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- Linux系统CentOS6、CentOS7手动修改IP地址
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2整合Redis,开启缓存,提高访问速度
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- MySQL8.0.19开启GTID主从同步CentOS8
微信收款码
支付宝收款码