一、漏洞详情
Apache Spark是一种用于大数据工作负载的分布式开源处理系统。它使用内存中缓存和优化的查询执行方式,可针对任何规模的数据进行快速分析查询。
当Spark任务的文件名可控时,`Utils.unpack`采用命令拼接的形式对tar文件进行解压,存在任意命令注入的风险。成功利用此漏洞可实现任意命令执行。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Spark Core 3.1.2, 3.2.1
三、修复建议
目前,Apache Spark官方已针对此漏洞提交修复补丁,请参照以下链接安装补丁更新:
https://github.com/apache/spark/commit/057c051285ec32c665fb458d0670c1c16ba536b2
https://github.com/apache/spark/tree/057c051285ec32c665fb458d0670c1c16ba536b2