2020年6月23日👍🏻，國家信息安全漏洞共享平臺（CNVD）收錄了由杭州安恒信息技術股份有限公司報送的Apache Spark遠程代碼執行漏洞（CNVD-2020-34445，對應CVE-2020-9480）🧖🏼。攻擊者利用該漏洞🛬，可在未授權的情況下遠程執行代碼。目前👩🏻‍🦽‍➡️，漏洞相關細節尚未公開🩲🦵，廠商已發布補丁進行修復。

一、漏洞情況分析

Apache Spark是專為大規模數據處理而設計的快速通用的計算引擎🍅。Apache Spark 是一種與 Hadoop 相似的開源集群計算環境，啟用了內存分布數據集，除了能夠提供交互式查詢外，它還可以優化迭代工作負載🤷🏿。Apache Spark 是在 Scala 語言中實現的🍗，它將 Scala 用作其應用程序框架🏊🏼🎃。

2020年6月23日，國家信息安全漏洞共享平臺（CNVD）收錄了由杭州安恒信息技術股份有限公司報送的Apache Spark遠程代碼執行漏洞🚯👳。由於Spark的認證機製存在缺陷👩🏼‍🦲，導致共享密鑰認證失效🌔。攻擊者利用該漏洞，可在未授權的情況下🌗，遠程發送精心構造的過程調用指令，啟動Spark集群上的應用程序資源，獲得目標服務器的權限，實現遠程代碼執行。

CNVD對該漏洞的綜合評級為“高危”。

二、漏洞影響範圍

漏洞影響的產品版本包括🏂🏼：

Apache Spark < =2.4.5

三🤜、漏洞處置建議

目前，Apache官方已發布新版本修復此漏洞🍮，CNVD建議用戶立即升級至最新版本🍠：

https://github.com/apache/spark/releases

附：參考鏈接：

https://github.com/apache/spark/releases

感謝杭州安恒信息技術股份有限公司為本報告提供的技術支持。