Spark(3.1.2, 3.2.1, 3.3.0版本)shell命令注入漏洞

头像
墨菲安全
    阅读 2 分钟
    实验室昨天第一时间监测到的0day漏洞,目前已上线检测

    漏洞描述

    Spark 是用于大规模数据处理的统一分析引擎。​
    由于 Hadoop 中"org.apache.hadoop.fs.FileUtill"类的“unTar”中针对 tar 文件的处理调了系统命令去解压,造成了 shell 命令注入的风险。​
    攻击者可以通过该漏洞实现任意命令执行。

    影响产品:Apache spark

    发现时间:2022-03-24 11:12:38

    发现方式:墨菲安全实验室情报预警监控

    组件名称:org.apache.spark:spark-core

    影响版本:3.1.2, 3.2.1, 3.3.0

    缺陷类型:shell命令注入

    缺陷评级:高危

    墨菲安全实验室于3月24日监测发现spark存在shell命令注入漏洞,已第一时间报送CNVD。

    漏洞分析

    在spark 3.1.2, 3.2.1, 3.3.0版本的 core/src/main/scala/org/apache/spark/util/Utils.scala 代码中调用了FileUtil.unTar方法对tar包进行解压
    image.png

    FileUtil.unTar方法在非windows的环境中调用了unTarUsingTar方法

    Spark中调用的unTarUsingTar方法为hadoop中的hadoop-common-project/hadoop-common/src/main/java/org/apache/hadoop/fs/FileUtil.java,其对文件名拼接之后通过tar命令进行解压,在处理过程中未对文件名进行转义。

    处置建议

    官方已发布补丁,参考链接:https://github.com/apache/spark/commit/057c051285ec32c665fb458d0670c1c16ba536b2

    参考链接

    https://github.com/apache/spark/commit/057c051285ec32c665fb458d0670c1c16ba536b2
    https://issues.apache.org/jira/browse/SPARK-38631
    https://github.com/apache/hadoop/blob/trunk/hadoop-common-project/hadoop-common/src/main/java/org/apache/hadoop/fs/FileUtil.java#L892
    https://github.com/apache/hadoop/commit/cae749b076f35f0be13a926ee8cfbb7ce4402746

    安全漏洞开源githubsparkspark-shell
    墨菲安全
    22 声望2 粉丝

    让每一个开发者更安全的使用开源代码!

    « 上一篇
    Spring Cloud Function 3.0.0.RELEASE~3.2.2版本SPEL 表达式注入
    下一篇 »
    Spring 新版本修复远程命令执行漏洞(CVE-2022-22965),墨菲安全开源工具可应急排查

    引用和评论

    推荐阅读
    头像
    CVE-2023-23752 Joomla未授权访问漏洞分析

    墨菲安全阅读 1.4k

    头像
    OSPO Summit 2025 正式定档!议题征集同步开启

    思否编辑部1阅读 6.2k

    头像
    蚂蚁技术研究院发布推理大模型强化学习框架,邀请开发者共同助力 AGI 生态

    蚂蚁开源2阅读 714

    头像
    嘎嘎好用!推荐三款开源的 Redis 桌面客户端!

    Java陈序员1阅读 987

    头像
    基于 MCP 的 AI Agent 应用开发实践

    字节跳动开源2阅读 684

    头像
    GitHub Copilot 精彩继续:探索基础架构与企业级管理新篇章!

    微软技术栈阅读 2.5k

    头像
    Koupleless 助力「人力家」实现分布式研发集中式部署,又快又省!

    SOFAStack阅读 2.5k

    0 条评论
    得票最新