首页 > 清静研究 > 清静转达 > 清静通告

CVE-2020-9480 | Apache Spark远程代码执行误差通告

宣布时间 2020-06-24

0x00 误差概述

CVE ID	CVE-2020-9480	时间	2020-06-24
类型	RCE	等级	高危
远程使用	是	影响规模	Apache Spark < = 2.4.5

0x01 误差详情

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

Apache Spark 是专为大规模数据处置惩罚而设计的快速通用的盘算引擎。。。。。Spark是UC Berkeley AMP lab所开源的类Hadoop MapReduce的通用并行框架，，，，它与 Hadoop 具有相似的开源集群盘算情形，，，，可是两者之间还保存一些差别之处，，，，这使 Spark 在某些事情负载方面体现得越发优越，，，，Spark 启用了内存漫衍数据集，，，，除了能够提供交互式盘问外，，，，它还可以优化迭代事情负载。。。。。

克日，，，，Apache官方宣布通告，，，，修复了一个Apache Spark远程代码执行误差。。。。。在Apache Spark 2.4.5以及更早版本中，，，，自力资源治理器的主效劳器可能被设置为需要通过共享密钥举行身份验证(spark.authenticate)。。。。。由于Spark的认证机制保存缺陷，，，，导致共享密钥认证失效。。。。。攻击者可在未授权的情形下，，，，远程发送全心结构的历程挪用指令，，，，来启动Spark集群上的应用程序资源，，，，并获得目的效劳器的权限，，，，从而实现远程代码执行。。。。。

该误差品级为高危，，，，鉴黑担保网VSRC建议受影响的用户实时升级至最新版本。。。。。

0x02 处置惩罚建议

官方已宣布最新版本，，，，下载地点：

https://github.com/apache/spark/releases

0x03 相关新闻

https://osint.geekcq.com/2020/06/23/cve-2020-9480/

0x04 参考链接

https://spark.apache.org/security.html

0x05 时间线

2020-06-24 VSRC宣布误差通告

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

CVE-2020-9480 | Apache Spark远程代码执行误差通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线