一 漏洞概述

2020年06月24日，Apache Spark 官方 发布了 Apache Spark 远程代码执行 的风险通告，该漏洞编号为 CVE-2020-9480，漏洞等级为高危。
Apache Spark是一个开源集群运算框架，专为大规模数据处理而设计的快速通用的计算引擎，Spark是UC Berkeley AMP lab (加州大学伯克利分校的AMP实验室)所开源的类Hadoop MapReduce的通用并行框架。
在Apache Spark 2.4.5以及更早版本中，独立资源管理器的主服务器可能被配置为需要通过共享密钥进行身份验证(spark.authenticate)。然而，由于Spark的认证机制存在缺陷，导致共享密钥认证失效。攻击者利用该漏洞，可在未授权的情况下，在主机上执行命令，造成远程代码执行。
知道创宇建议广大用户及时安装最新补丁，做好资产自查以及预防工作，以免遭受黑客攻击。

二 影响版本

Apache Spark：<=2.4.5

三 复现过程

无

四 修复建议

建议用户升级到Spark 2.4.6 或者 Spark 3.0.0 版本，下载地址为：https://github.com/apache/spark/releases

五 时间线

官方发布漏洞风险通告时间：2020年6月24日

知道创宇发布漏洞情报时间：2020年6月24日

六 相关链接

Apache：https://spark.apache.org/security.html#CVE-2020-9480

ZoomEye 网络空间搜索引擎：https://www.zoomeye.org/searchResult/report?q=app%3A%22Apache%20Spark%22