在线不卡日本ⅴ一区v二区_精品一区二区中文字幕_天堂v在线视频_亚洲五月天婷婷中文网站

    

  • <menu id="lky3g"></menu>
    • <style id="lky3g"></style>

    <pre id="lky3g"><tt id="lky3g"></tt></pre>
    Apache Spark UI 命令注入漏洞(CVE33891)
      ? 社會
    OSCS(開源軟件供應(yīng)鏈安全社區(qū))推出免費的漏洞、投毒情報訂閱服務(wù),社區(qū)用戶可通過機器人訂閱情報信息:https://www.oscs1024.com/?src=csdn
    漏洞概述
    7月18日,OSCS 監(jiān)測到 Apache 發(fā)布安全公告,修復(fù)了一個 Apache Spark UI 中存在的命令注入漏洞。漏洞編號:CVE-2022-33891,漏洞威脅等級:高危。
    Apache Spark 是美國阿帕奇(Apache)軟件基金會的一款支持非循環(huán)數(shù)據(jù)流和內(nèi)存計算的大規(guī)模數(shù)據(jù)處理引擎。
    如果Apache Spark UI啟用了 ACL,則HttpSecurityFilter 中的代碼路徑允許通過提供任意用戶名來模擬執(zhí)行。惡意用戶能夠訪問權(quán)限檢查功能,根據(jù)他們的輸入構(gòu)建一個 Unix shell 命令并執(zhí)行。攻擊者可利用此漏洞任意執(zhí)行 shell 命令。
    鑒于該漏洞危害較大且 POC 已公開,建議用戶盡快自查修復(fù)。
    漏洞評級:高危
    影響項目:Apache Spark
    影響版本:org.apache.spark:spark-core_2.12@( , 3.1.3)org.apache.spark:spark-core_2.12@[3.2.0, 3.2.2)org.apache.spark:spark-core_2.13@[3.2.0, 3.2.2)
    排查方式:獲取 spark 版本,判斷其版本是否在 ( , 3.1.3)、[3.2.0, 3.2.2)、[3.2.0, 3.2.2)范圍中
    更多漏洞詳細(xì)信息可進(jìn)入 OSCS 社區(qū)查看:
    https://www.oscs1024.com/hd/MPS-2022-19085
    處置建議
    升級 Apache Spark 到 3.1.3、3.2.2 或 3.3.0 或更高版本
    參考鏈接
    https://www.oscs1024.com/hd/MPS-2022-19085
    https://www.openwall.com/lists/oss-security/2022/07/17/1
    了解更多
    1、免費使用 OSCS 的情報訂閱服務(wù)
    OSCS (開源軟件供應(yīng)鏈安全社區(qū))通過最快、最全的方式,發(fā)布開源項目最新的安全風(fēng)險動態(tài),包括開源組件安全漏洞、事件等信息,社區(qū)用戶可通過企微、釘釘、飛書機器人等方式訂閱情報信息,具體訂閱方式詳見:
    https://www.oscs1024.com/docs/vuln-warning/intro/?src=wx
    鄭重聲明:本文內(nèi)容及圖片均整理自互聯(lián)網(wǎng),不代表本站立場,版權(quán)歸原作者所有,如有侵權(quán)請聯(lián)系管理員(admin#wlmqw.com)刪除。
     
     
      上一篇 2022年7月20日 15:49
     
     下一篇  2022年7月20日 15:50
    相關(guān)推薦
     
    聯(lián)系我們
    聯(lián)系郵箱:admin#wlmqw.com
     工作時間:周一至周五,10:30-18:30,節(jié)假日休息