1.产品描述:
Apache Spark是一个开源集群运算框架,最初是由加州大学柏克莱分校AMPLab所开发。相对于Hadoop的MapReduce会在执行完工作后将中介资料存放到磁盘中,Spark使用了存储器内运算技术,能在资料尚未写入硬盘时即在存储器内分析运算。
2.影响产品或组件及版本:
Apache Spark <= 3.2.1
Apache Spark 3.3.0
3.受影响资产情况:
通过资产测绘系统fofa发现,全球共6210个使用记录,其中第一名爱尔兰1944个,第二名美国1837个,第三名中国1244个
4.技术细节表述:
Apache Spark 3.2.1和更早的版本以及3.3.0中存在一个存储的跨站脚本(XSS)漏洞,允许远程攻击者在用户的Web浏览器中执行任意的Javascript,方法是将恶意的有效载荷纳入日志中,在UI中渲染的日志中返回。
5.修补措施:
厂商已发布了漏洞修复程序,安全版本:Apache Spark维护版本3.2.2,或3.3.1或更高版本
最新版官方下载链接:https://spark.apache.org/downloads.HTML
6.漏洞来源:
https://vip.riskivy.com/detail/1587507067571277824
注:该漏洞已有CVE漏洞编号,暂无CNNVD漏洞编号
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论