2020年6月24日，华北1安全应急响应中心监测到Apache Spark披露了一个远程代码执行漏洞，攻击者可以利用该漏洞在主机上执行任意命令。

该漏洞利用门槛低影响面大，建议用户及时更新到安全版本，做好资产自查及预防工作，避免不必要的损失。

漏洞名称

Apache Spark 远程代码执行漏洞（CVE-2020-9480）

风险等级

高危

漏洞描述

Apache Spark 是专为大规模数据处理而设计的快速通用的计算引擎。Apache Spark的独立资源管理器的主服务器可以通过配置共享密钥进行认证（spark.authenticate），但是在认证启用之后，即使没有共享密钥，也可以通过发送到主服务器的精心构造的远程过程调用指令在Spark集群上成功启动应用程序的资源，攻击者可以利用该漏洞在主机上执行任意命令。。

经华北1安全团队分析，Apache Spark的认证机制存在缺陷, 在开启密钥认证的情况下，未经验证的攻击者仍可通过精心构造的数据包进行远程代码执行。

影响版本

Apache Spark < = 2.4.5

修复建议

更新到Spark 2.4.6或3.0.0以上版本

下载地址：https://github.com/apache/spark/releases

注：如果可行的话，仅允许受信主机访问集群

参考链接

http://spark.apache.org/security.html

北京华北1网络技术有限公司

2020/06/24