OSCS(開源軟件供應鏈安全社區)推出免費的漏洞、投毒情報訂閱服務，社區用戶可通過機器人訂閱情報信息：https://www.oscs1024.com/?src=csdn

漏洞概述

7月18日，OSCS 監測到 Apache 發布安全公告，修復了一個 Apache Spark UI 中存在的命令注入漏洞。漏洞編號：CVE-2022-33891，漏洞威脅等級：高危。

Apache Spark 是美國阿帕奇（Apache）軟件基金會的一款支持非循環數據流和內存計算的大規模數據處理引擎。

如果Apache Spark UI啟用了 ACL，則HttpSecurityFilter 中的代碼路徑允許通過提供任意用戶名來模擬執行。惡意用戶能夠訪問權限檢查功能，根據他們的輸入構建一個 Unix shell 命令并執行。攻擊者可利用此漏洞任意執行 shell 命令。

鑒于該漏洞危害較大且 POC 已公開，建議用戶盡快自查修復。

漏洞評級：高危

影響項目：Apache Spark

影響版本：

org.apache.spark:spark-core_2.12@(∞, 3.1.3)

org.apache.spark:spark-core_2.12@[3.2.0, 3.2.2)

org.apache.spark:spark-core_2.13@[3.2.0, 3.2.2)

排查方式：獲取 spark 版本，判斷其版本是否在 (∞, 3.1.3)、[3.2.0, 3.2.2)、[3.2.0, 3.2.2)范圍中

更多漏洞詳細信息可進入 OSCS 社區查看：

https://www.oscs1024.com/hd/MPS-2022-19085

處置建議

升級 Apache Spark 到 3.1.3、3.2.2 或 3.3.0 或更高版本

參考鏈接

https://www.oscs1024.com/hd/MPS-2022-19085

https://www.openwall.com/lists/oss-security/2022/07/17/1