【漏洞详情】

平安云安全中心监测到Apache Spark官方发布安全通告， Spark 2.4.5及之前版本存在的远程代码执行漏洞（CVE-2020-9480）。由于Apache Spark的认证机制存在缺陷，攻击者在没有共享密钥情况下，通过发送精心构造的远程过程调用指令即可启动Spark集群上的应用程序资源，获得目标服务器的权限，实现远程代码执行。

【风险评级】

高危

【影响范围】

Apache Spark <= 2.4.5

【修复建议】

建议用户依据实际业务评估漏洞影响，尽快更新到Spark 2.4.6或3.0.0以上版本。

安全版本下载链接：https://spark.apache.org/downloads.html

【参考链接】

https://www.mail-archive.com/user@spark.apache.org/msg74361.html

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2020年6月24日