2020年6月24日，阿里云應(yīng)急響應(yīng)中心監(jiān)測到 CVE-2020-9480 Apache Spark 遠(yuǎn)程代碼執(zhí)行漏洞。

漏洞描述

Apache Spark 是專為大規(guī)模數(shù)據(jù)處理而設(shè)計的快速通用的計算引擎。由于Apache Spark的認(rèn)證機(jī)制存在缺陷，導(dǎo)致共享密鑰認(rèn)證失效。攻擊者利用該漏洞，可在未授權(quán)的情況下，遠(yuǎn)程發(fā)送精心構(gòu)造的過程調(diào)用指令，啟動Spark集群上的應(yīng)用程序資源，獲得目標(biāo)服務(wù)器的權(quán)限，實現(xiàn)遠(yuǎn)程代碼執(zhí)行。阿里云應(yīng)急響應(yīng)中心提醒Apache Spark 用戶盡快采取安全措施阻止漏洞攻擊。

影響版本

Apache Spark< = 2.4.5

安全版本

Apache Spark 2.4.6 或 3.0以上版本

安全建議

建議將Apache Spark升級至安全版本。下載地址參考：https://spark.apache.org/downloads.html

相關(guān)鏈接

https://spark.apache.org/security.html#CVE-2020-9480