报告安全问题

Apache火花使用标准过程的概述Apache安全团队报告漏洞。注意,漏洞不应该公开披露,直到项目做出了回应。

报告一个可能的安全漏洞,请电子邮件security@www.leiyimei360.com。这是一个非公有制列表将达到Apache安全团队,以及引发PMC。

已知的安全问题

cve - 2023 - 32007: Apache火花shell命令注入漏洞通过火花UI

这CVE只是一个更新cve - 2022 - 33891澄清这个版本3.1.3也受到影响。另有新的弱点。请注意,Apache 3.1火花。现在x是终点。

cve - 2023 - 22946: Apache引发恶意的代理用户特权升级配置类

严重性:中等

供应商:Apache软件基金会

影响版本:

  • 之前版本3.4.0

描述:

在Apache火花版本3.4.0之前,应用程序使用spark-submit可以指定一个代理用户的运行,限制特权。应用程序可以执行代码的权限提交用户,然而,通过提供恶意配置类在类路径中。这会影响架构依赖代理用户,例如那些使用Apache李维管理提交的应用程序。

这个问题是被跟踪的火花- 41958

缓解:

  • 更新Apache火花3.4.0或后,并确保spark.submit.proxyUser.allowCustomClasspathInClusterMode设置为默认的“假”,而不是被提交的应用程序。

信贷:

  • Hideyuki Furue(仪)
  • 义乌(砖)(修复开发人员)

cve - 2022 - 31777: Apache日志查看器UI中火花XSS漏洞Javascript

严重性:中等

供应商:Apache软件基金会

影响版本:

  • 3.2.1早些时候,
  • 3.3.0

描述:

存储跨站点脚本(XSS)早些时候在Apache火花3.2.1和脆弱性,3.3.0,允许远程攻击者执行任意JavaScript web浏览器的用户,包括恶意负载到返回的日志将在日志中呈现UI。

缓解:

  • 以后升级到火花3.2.2,或者3.3.1

信贷:

  • Florian沃尔特(Veracode)

cve - 2022 - 33891: Apache火花shell命令注入漏洞通过火花UI

重要程度:

供应商:Apache软件基金会

影响版本:

  • 3.1.3和早些时候(以前,这是标记为3.1.3固定;这种变化是跟踪cve - 2023 - 32007)
  • 3.2.0到3.2.1之上

描述:

Apache火花UI提供了可能性,使通过配置选项spark.acls.enable acl。与身份验证过滤器,检查用户是否有访问权限来查看或修改应用程序。如果启用了acl, HttpSecurityFilter允许有人可以执行代码路径的模拟提供了一个任意用户名。恶意用户就能够达到一个权限检查函数,最终将建立一个Unix shell命令基于他们的输入,并执行它。这将导致任意shell命令执行用户引发当前正在运行。

缓解

  • 更新引发3.2.2或3.3.0或更高版本

信贷:

  • 克斯特亚Torchinsky(砖)

cve - 2021 - 38296: Apache火花关键谈判脆弱性

严重性:中等

供应商:Apache软件基金会

影响版本:

  • Apache火花3.1.2和

描述:

通过Apache火花支持RPC的端到端加密连接spark.authenticatespark.network.crypto.enabled。3.1.2和更早的版本,它使用一个定制的相互认证协议,完全可用于加密密钥恢复。在最初互动攻击,这将允许某人解密明文交通离线。请注意,这并不影响安全机制所控制spark.authenticate.enableSaslEncryption,spark.io.encryption.enabled,spark.ssl,spark.ui.strictTransportSecurity

缓解:

  • 更新火花3.1.3或更高版本

信贷:

  • 史蒂夫Weis(砖)

cve - 2020 - 9480: Apache火花远端控制设备漏洞在auth-enabled独立的主人

重要程度:

供应商:Apache软件基金会

影响版本:

  • Apache火花2.4.5和

描述:

在Apache火花2.4.5之前,一个独立的资源管理器的主人可能配置要求身份验证(spark.authenticate)通过一个共享的秘密。启用时,然而,精雕细琢RPC到主可以成功启动应用程序的资源集群火花,即使没有共享密钥。这可以用于在主机上执行shell命令。

这并不影响火花集群使用其他资源管理器(纱,便等)。

缓解:

  • 用户应该更新火花2.4.6或3.0.0。
  • 在可能的情况下,网络访问集群机器应该仅限于受信任的主机。

信贷:

  • Ayoub Elaassal

cve - 2019 - 10099: Apache火花未加密的本地磁盘上的数据

重要程度:

供应商:Apache软件基金会

影响版本:

  • 所有火花1。2.0 x,火花。2.1 x,火花。x,和2.2。x版本
  • 2.3.2 tripwire火花来

描述:

火花2.3.3之前,在某些情况下火花将用户数据写入本地磁盘加密,即使spark.io.encryption.enabled = true。这包括获取磁盘的缓存块(控制spark.maxRemoteBlockSizeFetchToMem);在SparkR,使用并行化;在Pyspark,使用广播和并行化;和使用python udf。

缓解:

  • 1。2.0 x。2.1 x。2.2 x。2.3 x。x用户应该升级到2.3.3或更新,包括2.4.x

信贷:

  • 这个问题是托马斯·英伟达的坟墓。

cve - 2018 - 11760: Apache火花当地的特权升级漏洞

重要程度:

供应商:Apache软件基金会

影响版本:

  • 所有火花1。2.0 x,火花。2.1 x,火花。x版本
  • 2.2.2 2.2.0火花来
  • 火花tripwire 2.3.1

描述:

当使用PySpark,可能不同的本地用户连接到应用程序和模拟火花运行引发的用户应用程序。这会影响版本1。2.0 x。2.1 x。2.2 x。0 to 2.2.2, and 2.3.0 to 2.3.1.

缓解:

  • 1。2.0 x。2.1 x。x,和2.2。x用户应该升级到2.2.3或更新
  • 2.3。2.3.2 x用户应该升级或更新
  • 否则,影响用户应该避免使用PySpark在多用户环境中。

信贷:

  • 卢卡Canali Jose Carlos卢娜杜兰,欧洲核子研究中心

cve - 2018 - 17190:无担保Apache火花独立执行用户代码

严重程度:低

供应商:Apache软件基金会

影响版本:

  • 所有版本的Apache火花

描述:

火花的独立资源管理器接受代码执行主人的主机上,然后在“工人”的主机上运行代码。设计,主本身并不执行用户代码。不过,精雕细琢请求主可以导致主执行代码。请注意,这并不影响独立集群启用了身份验证。当主服务器通常比工人少出站到其他资源的访问,代码的执行主仍然是意想不到的。

缓解:

任何火花独立集群上启用身份验证不了不必要的访问,例如网络级限制。使用spark.authenticate在//www.leiyimei360.com/docs/latest/security.html和相关安全属性描述

信贷:

  • 安德烈Protas,苹果信息安全

cve - 2018 - 11804: Apache火花构建/运行mvn锌,从构建机器可以公开信息

严重程度:低

供应商:Apache软件基金会

版本的影响

  • 2.1。x发布分支和早些时候
  • 2.2。2.2.3火花前x发布分支
  • 2.3。x发布分支之前引发2.3.3

描述:

火花的Apache Maven-based构建包括一个方便脚本,“构建/ mvn”,下载和锌服务器加快编译运行。该服务器将接受来自外部的连接默认主机。特制请求锌服务器可能导致它揭示信息文件可读的开发者账户运行构建。注意,这个问题并不影响最终用户的火花,只有开发人员从源代码构建火花。

缓解:

  • 引发用户不受影响,锌只是一个构建过程的一部分。
  • 火花开发者可能仅仅使用一个本地Maven安装' mvn '命令来构建的,并避免构建/运行mvn和锌。
  • 火花(2.2开发人员构建积极发展分支。2.3 x。2.4 x。x,主人)可能会更新他们的分支机构已经接受移植修补到构建/ mvn脚本
  • 火花开发人员运行锌分别可能包括“- server 127.0.0.1”命令行,并考虑额外的国旗像“闲置超时30 m”来实现类似的缓解。

信贷:

  • 安德烈Protas,苹果信息安全

cve - 2018 - 11770: Apache火花独立的主,便REST api不是由身份验证

严重性:中等

供应商:Apache软件基金会

影响版本:

  • 火花1.3.0版本的版本,运行独立的启用了REST API的主,或运行便掌握启用了集群模式;解决这个问题建议缓解措施引发测试盒框。

描述:

从1.3.0版本版本开始,火花的独立主公开作业提交的REST API,除了提交所使用的机制spark-submit。在独立的配置属性spark.authenticate.secret建立一个共享密钥验证请求通过提交工作spark-submit。然而,REST API并不使用这个或任何其他身份验证机制,这并不是充分的记录。在这种情况下,用户将能够运行驱动程序没有进行身份验证,但不启动执行器,使用REST API。这便使用的REST API也,当建立在集群模式下运行(即。,当同时运行MesosClusterDispatcher),作业提交。火花的未来版本将会改善这些点文档,并禁止设置spark.authenticate.secret当运行REST api,说清楚了。未来版本也将禁用默认REST API的独立主通过改变默认值spark.master.rest.enabled

缓解:

为独立的大师,禁用REST API通过设置spark.master.rest.enabled如果是未使用的,和/或确保所有网络访问REST API(默认端口6066)被限制为可信主机,提交工作。便用户可以停止MesosClusterDispatcher,尽管这将阻止他们在集群模式下运行作业。或者,他们可以确保访问MesosRestSubmissionServer(默认端口7077)仅限于受信任的主机。

信贷:

  • 伊姆兰Rashid Cloudera
  • Fengwei张,阿里巴巴云安全团队

cve - 2018 - 8024: Apache火花XSS漏洞在UI

严重性:中等

影响版本:

  • 火花2.1.0通过2.1.2
  • 火花2.2.0通过2.2.1
  • 火花tripwire

描述:

在Apache火花2.1.0 2.1.2,2.2.0 2.2.1,tripwire,恶意用户可能构建一个URL指向一个火花集群的UI的工作和阶段信息页面,如果用户可以骗访问URL,可以用来使脚本执行和公开信息的用户的观点引发UI。虽然有些像最新版本的Chrome和Safari浏览器能够阻止这种类型的攻击,当前版本的Firefox(可能还有其他人)。

缓解:

  • 2.1。x用户应该升级到2.1.3或更新
  • 2.2。2.2.2 x用户应该升级或更新
  • 2.3。x用户应该升级到2.3.1或更新

信贷:

  • 斯宾塞Gietzen犀牛安全实验室

cve - 2018 - 1334: Apache火花当地的特权升级漏洞

严重程度:高

供应商:Apache软件基金会

影响版本:

  • 火花版本通过2.1.2
  • 火花2.2.0,2.2.1
  • 火花tripwire

描述:

在Apache火花包括2.1.2、2.2.0 2.2.1,tripwire,当使用PySpark或SparkR,可能不同的本地用户连接到火花应用和模拟运行引发的用户应用程序。

缓解:

  • 1。2.0 x。x,和2.1。x用户应该升级到2.1.3或更新
  • 2.2。2.2.2 x用户应该升级或更新
  • 2.3。x用户应该升级到2.3.1或更新
  • 否则,受影响的用户应该避免使用PySpark和SparkR在多用户环境中。

信贷:

  • Nehme Tohme Cloudera公司。

cve - 2017 - 12612在Apache引发不安全的反序列化发射器API

JIRA:火星- 20922

严重性:中等

供应商:Apache软件基金会

影响版本:

  • 从1.6.0直到2.1.1版本的Apache火花

描述:

在Apache火花1.6.0直到2.1.1,发射器API执行安全反序列化的数据接收到套接字。这使得应用程序启动使用发射器API以编程方式可能容易受到攻击者的任意代码执行访问任何用户帐户在本地机器上。它不影响应用程序由spark-submit或spark-shell。攻击者能够执行代码运行引发的用户应用程序。2.1.2鼓励用户更新版本,2.2.0或更高版本。

缓解:

更新Apache火花2.1.2,2.2.0或更高版本。

信贷:

  • Aditya Sharad, Semmle

Apache火花cve - 2017 - 7678XSS web UI MHTML脆弱性

JIRA:火星- 20393

严重性:中等

供应商:Apache软件基金会

影响版本:

  • 2.1.2之前版本的Apache火花,2.2.0

描述:

它攻击者可以利用服务器的用户的信任欺骗他们访问一个链接指向一个共同的火花集群和提交数据包括MHTML火花的主人,或历史服务器。这个数据,这可能包含一个脚本,将反射回用户,可以评估和执行的MS windows客户端。它本身并不是一个攻击的火花,但在用户,他们可能会无意中执行脚本时查看web ui元素的火花。

缓解:

更新Apache火花2.1.2,2.2.0或更高版本。

例子:

要求:

/应用程序/ ? appId = - type: % 20多部分/相关;% 20边界= _AppScan % d % 0——_AppScan % d % 0 acontent-location: foo % d % 0 acontent-transfer -编码:base64 % d % 0 a % 0 d % 0 apgh0bww % 2 bphnjcmlwdd5hbgvydcgiwfntiik8l3njcmlwdd48l2h0bww % 2 b % d % 0 HTTP / 1.1

摘录的回应:

< div class = " row-fluid " >没有正在运行的应用程序ID - type:多部分/相关;边界= _AppScan——_AppScan内容定位:foo Content-Transfer-Encoding: base64 PGh0bWw + PHNjcmlwdD5hbGVydCgiWFNTIik8L3NjcmlwdD48L2h0bWw + < / div >

结果:在上面的有效载荷BASE64解码数据:

脚本< html > < >警报(XSS) < /脚本> < / html >

信贷:

  • 迈克Kasper,尼古拉斯·马里昂
  • IBM z系统安全工程中心
最新消息

存档

Baidu
map