Apache Spark 是一种用于大数据作业负载的分布式开源处理系统。它运用内存中缓存和优化的查询履行方法,可针对任何规划的数据来进行快速剖析查询。它供给运用 Java、Scala、Python 和 R 言语的开发 API,支撑跨多个作业负载重用代码—批处理、交互式查询、实时剖析、机器学习和图形处理等。
近来,奇安信CERT监测到Apache Spark指令注入缝隙细节在网络上撒播。当 Spark 使命的文件名可控时, `Utils.unpack` 选用指令拼接的方式对 tar 文件进行解压,存在恣意指令注入的危险。成功使用此缝隙可完成恣意指令履行。现在,此缝隙细节已在网络上撒播。鉴于此缝隙细节已揭露,主张客户赶快做好自查及防护。
奇安信CERT已成功复现Apache Spark指令注入缝隙,复现截图如下:
现在,Apache Spark官方已针对此缝隙提交修正补丁,请参照以下链接装置补丁更新:
