Apache火花使用标准过程的概述Apache安全团队报告漏洞。注意,漏洞不应该公开披露,直到项目做出了回应。
报告一个可能的安全漏洞,请电子邮件security@www.leiyimei360.com
。这是一个非公有制列表将达到Apache安全团队,以及引发PMC。
这CVE只是一个更新cve - 2022 - 33891澄清这个版本3.1.3也受到影响。另有新的弱点。请注意,Apache 3.1火花。现在x是终点。
严重性:中等
供应商:Apache软件基金会
影响版本:
描述:
在Apache火花版本3.4.0之前,应用程序使用spark-submit可以指定一个代理用户的运行,限制特权。应用程序可以执行代码的权限提交用户,然而,通过提供恶意配置类在类路径中。这会影响架构依赖代理用户,例如那些使用Apache李维管理提交的应用程序。
这个问题是被跟踪的火花- 41958
缓解:
spark.submit.proxyUser.allowCustomClasspathInClusterMode
设置为默认的“假”,而不是被提交的应用程序。信贷:
严重性:中等
供应商:Apache软件基金会
影响版本:
描述:
存储跨站点脚本(XSS)早些时候在Apache火花3.2.1和脆弱性,3.3.0,允许远程攻击者执行任意JavaScript web浏览器的用户,包括恶意负载到返回的日志将在日志中呈现UI。
缓解:
信贷:
重要程度:
供应商:Apache软件基金会
影响版本:
描述:
Apache火花UI提供了可能性,使通过配置选项spark.acls.enable acl。与身份验证过滤器,检查用户是否有访问权限来查看或修改应用程序。如果启用了acl, HttpSecurityFilter允许有人可以执行代码路径的模拟提供了一个任意用户名。恶意用户就能够达到一个权限检查函数,最终将建立一个Unix shell命令基于他们的输入,并执行它。这将导致任意shell命令执行用户引发当前正在运行。
缓解
信贷:
严重性:中等
供应商:Apache软件基金会
影响版本:
描述:
通过Apache火花支持RPC的端到端加密连接spark.authenticate
和spark.network.crypto.enabled
。3.1.2和更早的版本,它使用一个定制的相互认证协议,完全可用于加密密钥恢复。在最初互动攻击,这将允许某人解密明文交通离线。请注意,这并不影响安全机制所控制spark.authenticate.enableSaslEncryption
,spark.io.encryption.enabled
,spark.ssl
,spark.ui.strictTransportSecurity
。
缓解:
信贷:
重要程度:
供应商:Apache软件基金会
影响版本:
描述:
在Apache火花2.4.5之前,一个独立的资源管理器的主人可能配置要求身份验证(spark.authenticate
)通过一个共享的秘密。启用时,然而,精雕细琢RPC到主可以成功启动应用程序的资源集群火花,即使没有共享密钥。这可以用于在主机上执行shell命令。
这并不影响火花集群使用其他资源管理器(纱,便等)。
缓解:
信贷:
重要程度:
供应商:Apache软件基金会
影响版本:
描述:
火花2.3.3之前,在某些情况下火花将用户数据写入本地磁盘加密,即使spark.io.encryption.enabled = true
。这包括获取磁盘的缓存块(控制spark.maxRemoteBlockSizeFetchToMem
);在SparkR,使用并行化;在Pyspark,使用广播和并行化;和使用python udf。
缓解:
信贷:
重要程度:
供应商:Apache软件基金会
影响版本:
描述:
当使用PySpark,可能不同的本地用户连接到应用程序和模拟火花运行引发的用户应用程序。这会影响版本1。2.0 x。2.1 x。2.2 x。0 to 2.2.2, and 2.3.0 to 2.3.1.
缓解:
信贷:
严重程度:低
供应商:Apache软件基金会
影响版本:
描述:
火花的独立资源管理器接受代码执行主人的主机上,然后在“工人”的主机上运行代码。设计,主本身并不执行用户代码。不过,精雕细琢请求主可以导致主执行代码。请注意,这并不影响独立集群启用了身份验证。当主服务器通常比工人少出站到其他资源的访问,代码的执行主仍然是意想不到的。
缓解:
任何火花独立集群上启用身份验证不了不必要的访问,例如网络级限制。使用spark.authenticate
在//www.leiyimei360.com/docs/latest/security.html和相关安全属性描述
信贷:
严重程度:低
供应商:Apache软件基金会
版本的影响
描述:
火花的Apache Maven-based构建包括一个方便脚本,“构建/ mvn”,下载和锌服务器加快编译运行。该服务器将接受来自外部的连接默认主机。特制请求锌服务器可能导致它揭示信息文件可读的开发者账户运行构建。注意,这个问题并不影响最终用户的火花,只有开发人员从源代码构建火花。
缓解:
信贷:
严重性:中等
供应商:Apache软件基金会
影响版本:
描述:
从1.3.0版本版本开始,火花的独立主公开作业提交的REST API,除了提交所使用的机制spark-submit
。在独立的配置属性spark.authenticate.secret
建立一个共享密钥验证请求通过提交工作spark-submit
。然而,REST API并不使用这个或任何其他身份验证机制,这并不是充分的记录。在这种情况下,用户将能够运行驱动程序没有进行身份验证,但不启动执行器,使用REST API。这便使用的REST API也,当建立在集群模式下运行(即。,当同时运行MesosClusterDispatcher
),作业提交。火花的未来版本将会改善这些点文档,并禁止设置spark.authenticate.secret
当运行REST api,说清楚了。未来版本也将禁用默认REST API的独立主通过改变默认值spark.master.rest.enabled
来假
。
缓解:
为独立的大师,禁用REST API通过设置spark.master.rest.enabled
来假
如果是未使用的,和/或确保所有网络访问REST API(默认端口6066)被限制为可信主机,提交工作。便用户可以停止MesosClusterDispatcher
,尽管这将阻止他们在集群模式下运行作业。或者,他们可以确保访问MesosRestSubmissionServer
(默认端口7077)仅限于受信任的主机。
信贷:
严重性:中等
影响版本:
描述:
在Apache火花2.1.0 2.1.2,2.2.0 2.2.1,tripwire,恶意用户可能构建一个URL指向一个火花集群的UI的工作和阶段信息页面,如果用户可以骗访问URL,可以用来使脚本执行和公开信息的用户的观点引发UI。虽然有些像最新版本的Chrome和Safari浏览器能够阻止这种类型的攻击,当前版本的Firefox(可能还有其他人)。
缓解:
信贷:
严重程度:高
供应商:Apache软件基金会
影响版本:
描述:
在Apache火花包括2.1.2、2.2.0 2.2.1,tripwire,当使用PySpark或SparkR,可能不同的本地用户连接到火花应用和模拟运行引发的用户应用程序。
缓解:
信贷:
JIRA:火星- 20922
严重性:中等
供应商:Apache软件基金会
影响版本:
描述:
在Apache火花1.6.0直到2.1.1,发射器API执行安全反序列化的数据接收到套接字。这使得应用程序启动使用发射器API以编程方式可能容易受到攻击者的任意代码执行访问任何用户帐户在本地机器上。它不影响应用程序由spark-submit或spark-shell。攻击者能够执行代码运行引发的用户应用程序。2.1.2鼓励用户更新版本,2.2.0或更高版本。
缓解:
更新Apache火花2.1.2,2.2.0或更高版本。
信贷:
JIRA:火星- 20393
严重性:中等
供应商:Apache软件基金会
影响版本:
描述:
它攻击者可以利用服务器的用户的信任欺骗他们访问一个链接指向一个共同的火花集群和提交数据包括MHTML火花的主人,或历史服务器。这个数据,这可能包含一个脚本,将反射回用户,可以评估和执行的MS windows客户端。它本身并不是一个攻击的火花,但在用户,他们可能会无意中执行脚本时查看web ui元素的火花。
缓解:
更新Apache火花2.1.2,2.2.0或更高版本。
例子:
要求:
/应用程序/ ? appId = - type: % 20多部分/相关;% 20边界= _AppScan % d % 0——_AppScan % d % 0 acontent-location: foo % d % 0 acontent-transfer -编码:base64 % d % 0 a % 0 d % 0 apgh0bww % 2 bphnjcmlwdd5hbgvydcgiwfntiik8l3njcmlwdd48l2h0bww % 2 b % d % 0 HTTP / 1.1
摘录的回应:
< div class = " row-fluid " >没有正在运行的应用程序ID - type:多部分/相关;边界= _AppScan——_AppScan内容定位:foo Content-Transfer-Encoding: base64 PGh0bWw + PHNjcmlwdD5hbGVydCgiWFNTIik8L3NjcmlwdD48L2h0bWw + < / div >
结果:在上面的有效载荷BASE64解码数据:
脚本< html > < >警报(XSS) < /脚本> < / html >
信贷: