一、漏洞详情

Apache Spark是一种用于大数据工作负载的分布式开源处理系统。它使用内存中缓存和优化的查询执行方式，可针对任何规模的数据进行快速分析查询。

当Spark任务的文件名可控时，`Utils.unpack`采用命令拼接的形式对tar文件进行解压，存在任意命令注入的风险。成功利用此漏洞可实现任意命令执行。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Spark Core 3.1.2, 3.2.1

三、修复建议

目前，Apache Spark官方已针对此漏洞提交修复补丁，请参照以下链接安装补丁更新：

https://github.com/apache/spark/commit/057c051285ec32c665fb458d0670c1c16ba536b2

https://github.com/apache/spark/tree/057c051285ec32c665fb458d0670c1c16ba536b2