草庐IT

33891

全部标签

漏洞复现:Apache Spark 命令注入(CVE-2022-33891)

一、apachespark简介 ApacheSpark是专为大规模数据处理而设计的快速通用的计算引擎。Spark是UCBerkeleyAMPlab(加州大学伯克利分校的AMP实验室)所开源的类HadoopMapReduce的通用并行框架,Spark,拥有HadoopMapReduce所具有的优点;但不同于MapReduce的是——Job中间输出结果可以保存在内存中,从而不再需要读写HDFS,因此Spark能更好地适用于数据挖掘与机器学习等需要迭代的MapReduce的算法。二、漏洞简介ApacheSparkUI可以设置选项spark.acls.enable启用ACL,使用身份验证过滤器。用以检
复现注入sparkxffcodeapache大数据安全

Apache Spark UI 命令注入漏洞 CVE-2022-33891

漏洞简介ApacheSparkUI提供了通过配置选项spark.acls.enable。使用身份验证过滤器,这检查用户是否有访问权限来查看或修改应用。如果启用了ACL,则HttpSecurityFilter中的代码路径可以允许某人通过提供任意用户名来执行模拟。然后恶意用户可能能够访问权限检查功能,最终将根据他们的输入构建一个Unixshell命令,并且执行它。这将导致任意shell命令执行。影响版本:ApacheSpark版本3.0.3及更早版本,版本3.11至3.1.2,以及版本3.2.0至3.2.1漏洞复现  下载ApacheSpark3.2.1 https://archive.apach
Apache33891codesparkspan网络安全

Apache Spark UI 命令注入漏洞 CVE-2022-33891

漏洞简介ApacheSparkUI提供了通过配置选项spark.acls.enable。使用身份验证过滤器,这检查用户是否有访问权限来查看或修改应用。如果启用了ACL,则HttpSecurityFilter中的代码路径可以允许某人通过提供任意用户名来执行模拟。然后恶意用户可能能够访问权限检查功能,最终将根据他们的输入构建一个Unixshell命令,并且执行它。这将导致任意shell命令执行。影响版本:ApacheSpark版本3.0.3及更早版本,版本3.11至3.1.2,以及版本3.2.0至3.2.1漏洞复现  下载ApacheSpark3.2.1 https://archive.apach
Apache33891codesparkspan网络安全

CVE-2022-33891 Apache Spark 命令注入复现

一、漏洞概述    ApacheSpark是专为大规模数据处理而设计的快速通用的计算引擎。Spark是UCBerkeleyAMPlab(加州大学伯克利分校的AMP实验室)所开源的类HadoopMapReduce的通用并行框架,Spark,拥有HadoopMapReduce所具有的优点;但不同于MapReduce的是——Job中间输出结果可以保存在内存中,从而不再需要读写HDFS,因此Spark能更好地适用于数据挖掘与机器学习等需要迭代的MapReduce的算法。 二、影响版本≤3.0.33.1.1-3.1.23.2.0-3.2.1 三、漏洞原理  ApacheSparkUI可以设置选项spar
Apache33891spancolorstyle网络安全

CVE-2022-33891 Apache Spark 命令注入复现

一、漏洞概述    ApacheSpark是专为大规模数据处理而设计的快速通用的计算引擎。Spark是UCBerkeleyAMPlab(加州大学伯克利分校的AMP实验室)所开源的类HadoopMapReduce的通用并行框架,Spark,拥有HadoopMapReduce所具有的优点;但不同于MapReduce的是——Job中间输出结果可以保存在内存中,从而不再需要读写HDFS,因此Spark能更好地适用于数据挖掘与机器学习等需要迭代的MapReduce的算法。 二、影响版本≤3.0.33.1.1-3.1.23.2.0-3.2.1 三、漏洞原理  ApacheSparkUI可以设置选项spar
Apache33891spancolorstyle网络安全

CVE-2022-33891 Apache spark shell 命令注入漏洞复现

简介Spark是用于大规模数据处理的统一分析引擎。它提供了Scala、Java、Python和R中的高级API,以及支持用于数据分析的通用计算图的优化引擎。它还支持一组丰富的高级工具,包括用于SQL和DataFrames的SparkSQL、用于Pandas工作负载的Spark上的PandasAPI、用于机器学习的MLlib、用于图形处理的GraphX和用于流处理的结构化流。影响版本Apachesparkversion3.1.1ApacheSparkversion>=3.3.0环境搭建目前官网上已经找不到老版本的docker镜像了搜索老版本的也是为空这里环境搭建的时使用的是github上私人仓库
Apache33891spanstylecolor网络安全

CVE-2022-33891 Apache spark shell 命令注入漏洞复现

简介Spark是用于大规模数据处理的统一分析引擎。它提供了Scala、Java、Python和R中的高级API,以及支持用于数据分析的通用计算图的优化引擎。它还支持一组丰富的高级工具,包括用于SQL和DataFrames的SparkSQL、用于Pandas工作负载的Spark上的PandasAPI、用于机器学习的MLlib、用于图形处理的GraphX和用于流处理的结构化流。影响版本Apachesparkversion3.1.1ApacheSparkversion>=3.3.0环境搭建目前官网上已经找不到老版本的docker镜像了搜索老版本的也是为空这里环境搭建的时使用的是github上私人仓库
Apache33891spanstylecolor网络安全