Apache 再爆Spark RCE漏洞(CVE-2020-9480)
Apache 再爆Spark RCE漏洞(CVE-2020-9480)
近日,我们收到Oracle WebLogic Server远程代码执行漏洞(CVE-2018-3245)情况的报送。攻击者可利用该漏洞在未授权的情况下发送攻击数据,通过T3协议在WebLogic Server中执行反序列化操作,最终实现远程代码执行。WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3等版本均受漏洞影响。目前, Oracle官方已经发布补丁修复了漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
漏洞描述
【漏洞编号】CVE-2020-9480
【漏洞等级】高危
【漏洞概述】
由于Spark的认证机制存在缺陷,导致共享密钥认证失效。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的过程调用指令,启动Spark集群上的应用程序资源,获得目标服务器的权限,实现远程代码执行。
【漏洞版本】
Apache Spark< = 2.4.5
【安全版本】
Apache Spark2.4.6 或 3.0以上版本
漏洞修复
建议及时相关企业尽快更新到漏洞修复后的版本(Spark 2.4.6或3.0.0以上版本)。
Apache官方在6月5日发布Apache Spark 2.4.6,可通过官方网站下载:http://spark.apache.org/security.html
关于ApacheSpark
Apache Spark 是专为大规模数据处理而设计的快速通用的计算引擎。根据公告,Spark的认证机制存在缺陷,攻击者可以利用该缺陷远程启动Spark集群上的应用程序资源,从而造成任意命令执行。
参考链接
声明:本文来自CNNVD安全动态,版权归作者所有。文章内容仅代表作者独立观点,不代表深圳汇安科技立场,转载目的在于传递更多信息。如有侵权,请联系 13570058253@139.com。