首页 > 安全钻研 > 安全传递 > 安全公告

Apache Spark XSS缝隙安全公告

颁布功夫 2018-07-13

缝隙编号

CVE-2018-8024

缝隙级别

厂商自评：中危 CVSS分值：官方未评定

影响领域

受影响的版本：

Spark 2.1.2

Spark 2.2.0到2.2.1

Spark 2.3.0

缝隙概述

Apache Spark是基于内存推算的大数据并行推算框架，在大数据环境中宽泛利用。

在Apache Spark中，蕴含2.1.2,2.2.0到2.2.1和2.3.0，恶意用户能够构建一个指向Spark集群UI作业和阶段信息页面的URL，若是用户被糊弄接见URL，可从用户的Spark UI视图中导致剧本执行以及信息泄漏。固然一些浏览器（如最近版本的Chrome和Safari）可能阻止此类攻击，但当前版本的Firefox（可能还有其他）还受影响。

建复建议

目前官方已建复该缝隙：

1.x, 2.0.x,和2.1.x升级至2.1.3。

2.2.x升级至2.2.2。

2.3.x升级至2.3.1。

参考链接

http://www.scap.org.cn/CVE-2018-8024.html

https://lists.apache.org/thread.html/5f241d2cda21cbcb3b63e46e474cf5f50cce66927f08399f4fab0aba@<dev.spark.apache.org>

https://spark.apache.org/security.html

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

软件升级

投资者关系

安全钻研