상세 컨텐츠
본문
Apache Spark 셸 커맨드 인젝션 취약점(CVE-2022-33891)이 발견되었습니다.
Apache Spark UI는 구성 옵션 spark.acls.enable을 통해 ACL을 사용하도록 설정할 수 있는데, 인증필터를 사용하면 사용자에게 응용 프로그램을 보거나 수정할 수 있는 접근 권한이 있는지 확인할 수 있습니다. ACL이 사용 가능한 경우 HttpSecurityFilter의 코드 경로를 통해 다른 사용자가 임의의 사용자 이름을 사칭하여 수행할 수 있도록 허용하며, 이를 통해 악의적인 사용자는 권한 검사 기능에 접근하여 입력을 기반으로 하는 유닉스 셸 명령을 빌드하고 실행할 수 있습니다.
영향받는 버전
Apache Spark 3.0.3 이전버전
Apache Spark 3.1.1~3.1.2 및 3.2.0~3.2.1 버전
패치방법
Apache Spark 3.1.3, 3.2.2 혹은 3.3.0 버전으로 업데이트
참고 :
https://spark.apache.org/downloads.html
ttps://lists.apache.org/thread/p847l3kopoo5bjtmxrcwk21xp6tjxqlc
'국내외 보안동향' 카테고리의 다른 글
| CISA, Confluence 앱 하드 코딩된 자격 증명 취약점(CVE-2022-26318)에 대해 경고 (0) | 2022.08.01 |
|---|---|
| Atlassian 제품의 다중 취약점(CVE-2022-26136, CVE-2022-26137, CVE-2022-26138) 주의! (0) | 2022.07.21 |
| Intel 및 AMD CPU에 영향을 주는 RetBleed 취약점(CVE-2022-29900, CVE-2022-29901) 주의! (0) | 2022.07.15 |
| 7월 패치 화요일, Windows CSRSS(CVE-2022-22047) 제로데이를 포함한 84개 취약점 수정! (0) | 2022.07.14 |
| OpenSSL 원격코드실행 취약점(CVE-2022-2274) 주의! (0) | 2022.07.07 |
댓글 영역