教育数字化知识图谱

2020 年 6 月 23 日，国家信息安全漏洞共享平台（ CNVD ）收录了 Apache Spark 远程代码执行漏洞（ CNVD-2020-34445 ，对应 CVE-2020-9480 ）。攻击者利用该漏洞，可在未授权的情况下远程执行代码。目前，漏洞相关细节尚未公开，厂商已发布补丁进行修复。

一、漏洞情况分析

Apache Spark 是专为大规模数据处理而设计的快速通用的计算引擎。 Apache Spark 是一种与 Hadoop 相似的开源集群计算环境，启用了内存分布数据集，除了能够提供交互式查询外，它还可以优化迭代工作负载。 Apache Spark 是在 Scala 语言中实现的，它将 Scala 用作其应用程序框架。

2020 年 6 月 23 日，国家信息安全漏洞共享平台（ CNVD ）收录了由杭州安恒信息技术股份有限公司报送的 Apache Spark 远程代码执行漏洞。由于 Spark 的认证机制存在缺陷，导致共享密钥认证失效。攻击者利用该漏洞，可在未授权的情况下，远程发送精心构造的过程调用指令，启动 Spark 集群上的应用程序资源，获得目标服务器的权限，实现远程代码执行。

CNVD 对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品版本包括：

Apache Spark < =2.4.5

三、漏洞处置建议

目前， Apache 官方已发布新版本修复此漏洞， CNVD 建议用户立即升级至最新版本：

https://github.com/apache/spark/releases

附：参考链接：

https://github.com/apache/spark/releases