查看: 1581|回复: 0
收起左侧

[技术原创] CVE-2020-9480:Apache Spark RCE漏洞风险通告

[复制链接]
腾讯电脑管家
发表于 2020-6-24 17:55:28 | 显示全部楼层 |阅读模式
本帖最后由 腾讯电脑管家 于 2020-6-24 17:55 编辑

Apache Spark更新发布了Apache Spark 2.4.5和更早版本中存在远程代码执行漏洞的安全公告。


【漏洞编号】CVE-2020-9480


【漏洞等级】高危


【漏洞概述】
由于Spark的认证机制存在缺陷,导致共享密钥认证失效。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的过程调用指令,启动Spark集群上的应用程序资源,获得目标服务器的权限,实现远程代码执行。


【漏洞版本】
Apache Spark < = 2.4.5


【安全版本】
Apache Spark 2.4.6 或 3.0以上版本


【漏洞修复】
腾讯安全专家建议相关企业及时更新到漏洞修复的版本(Spark 2.4.6或3.0.0以上版本),或采用腾讯安全解决方案检测漏洞利用。

Apache官方在6月5日发布Apache Spark 2.4.6,建议通过官方网站下载:http://spark.apache.org/security.html


【腾讯安全解决方案】
腾讯主机安全(云镜)已支持检测服务器是否存在Apache Spark远程代码执行漏洞。

file:///C:\Users\ADMINI~1\AppData\Local\Temp\ksohtml3268\wps13.jpg

【关于Apache Spark 】
Apache Spark 是专为大规模数据处理而设计的快速通用的计算引擎。根据公告,Spark的认证机制存在缺陷,攻击者可以利用该缺陷远程启动Spark集群上的应用程序资源,从而造成任意命令执行。


参考链接:



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:42 , Processed in 0.125235 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表