漏洞描述

近日， 监测到 Apache Spark 命令注入漏洞细节在互联网上流传。 当 Spark 任务的文件名可控时， ‘Utils.unpack’ 采用命令拼接的形式对 tar 文件进行解压， 存在任意命令注入的风险。 这是源于 Hadoop 中 unTar 函数存在问题， 在其执行 shell 命令之前未正确转义文件名，直接拼接命令导致任意命令注入。

 鉴于此漏洞细节已公开， 建议尽快做好自查及防护。

漏洞危害

攻击者可利用该漏洞注入任意命令， 导致命令执行。

漏洞等级

高危

受影响版本

Spark Core 3.1.2, 3.2.1

不受影响版本

Spark Core 3.1.3, 3.2.2

修复方案

目前， Apache Spark 官方已针对此漏洞提交修复补丁， 请参照官网链接安装补丁更新。