一、漏洞详情

Hadoop是Apache基金会旗下的一个开源的分布式计算平台，基于Java语言开发，有很好的跨平台特性，并且可以部署在廉价的计算机集群中。用户无需了解分布式底层细节，就可以开发分布式程序，充分利用集群的威力进行高速运算和存储。

监测发现Apache Hadoop官方修复了一个命令注入漏洞。由于Apache Hadoop的FileUtil.unTar API在传递shell之前未对输入的文件名进行转义，攻击者可以利用该漏洞注入任意命令，从而实现远程代码执行。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

0.0 <= Apache Hadoop <= 2.10.1

0.0-alpha <= Apache Hadoop <= 3.2.3

3.0 <= Apache Hadoop <= 3.3.2

三、修复建议

目前官方已在最新版本中修复了该漏洞，请受影响的用户尽快安装更新进行防护，官方下载链接：https://hadoop.apache.org/。