關(guān)于 Apache Hadoop 代碼問題漏洞(CVE-202 1-25642)的安全公告

 漏洞資訊     |      2022-11-17

一、漏洞分析

Apache Hadoop YARN 存在安全漏洞,該漏洞源于其 CapacityScheduler 可選地使用 ZKConfigurationStore 時(shí),它將從 ZooKeeper 獲取的數(shù)據(jù)反序列化而無需驗(yàn)證。能夠訪問 ZooKeeper 的 攻擊者可以利用該漏洞以 YARN 用戶的身份運(yùn)行任意命令。

二、風(fēng)險(xiǎn)等級(jí)

嚴(yán)重

三、影響范圍

影響版本: Apache Hadoop >=2.9.0,<2.10.2 Apache Hadoop >=3.0.0,<3.2.4 Apache Hadoop >=3.3.0,<3.3.4

四、處置建議

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://lists.apache.org/thread/g6vf2h4wdgzzdgk91mqozhs 58wotq150 參考鏈接 https://nvd.nist.gov/vuln/detail/CVE-2021-25642