一、漏洞详情

Apache Spark 是用于大规模数据处理的统一分析引擎。

Apache发布安全公告，修复了Apache Spark中的一个命令注入漏洞（CVE-2022-33891）。

在Apache Spark中，可以通过Apache Spark用户界面提供的配置选项spark.acls.enable来启用ACL，可以通过认证过滤器检查用户是否有查看或修改应用程序的权限。如果ACL被启用，则可以通过提供任意用户名来模拟HttpSecurityFilter中的代码路径，并导致以Spark当前运行的用户身份执行任意shell命令。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Apache Spark <= 3.0.3

3.1.1 <= Apache Spark <=3.1.2

3.2.0 <= Apache Spark <=3.2.1

三、修复建议

目前此漏洞已经修复，受影响用户可以升级到Apache Spark 3.1.3、3.2.2 、3.3.0 或更高版本。

下载链接：https://spark.apache.org/downloads.html