一、漏洞详情

Apache Hadoop YARN（Yet Another Resource Negotiator，另一种资源协调者）是一种新的Hadoop资源管理器，它是一个通用资源管理系统和调度平台。

Apache官方发布安全公告，修复了Apache Hadoop YARN中的一个远程代码执行漏洞（CVE-2021-25642）。

ZKConfigurationStore是Apache Hadoop YARN的CapacityScheduler可选使用的，由于ZKConfigurationStore可在未经验证的情况下反序列化从ZooKeeper获得的数据，因此能够访问ZooKeeper的威胁者可以利用此漏洞以YARN用户身份运行任意命令。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

2.9.0 <= Apache Hadoop <= 2.10.1

3.0.0-alpha <= Apache Hadoop <= 3.2.3

3.3.0 <= Apache Hadoop <= 3.3.3

三、修复建议

目前此漏洞已经修复，受影响用户可升级到Apache Hadoop 2.10.2、3.2.4、3.3.4或更高版本（包含 YARN-11126）。

下载链接：https://hadoop.apache.org/releases.html

注：不使用ZKConfigurationStore的用户不易受到此漏洞影响。