发布日期：2020-06-23
更新日期：2020-06-28

受影响系统：

Apache Software Foundation Apache Spark <=2.4.5

描述：

---

CVE(CAN) ID: CVE-2020-9480

Apache Spark 是是美国阿帕奇（Apache）软件基金会专为大规模数据处理而设计的快速通用的计算引擎。
Apache Spark 2.4.5及之前版本存在远程命令执行漏洞。该漏洞产生的原因是独立资源管理器的主服务器可配置为要求通过共享密钥进行身份验证（spark.authenticate），但在启用后，即使不利用共享密钥，向主服务器发送特制RPC请求也可成功启动Spark集群上的应用程序资源。攻击者可利用该漏洞在主机上执行Shell命令。

<*来源：Ayoub Elaassal
  *>

建议：

---

厂商补丁：

Apache Software Foundation
--------------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://spark.apache.org/security.html#CVE-2020-9480

浏览次数：1069
严重程度：0（网友投票）