登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们
docurl=/cn/Products___Technology/Products/IP_Security/Security_Research/Home/Notice/Notice/202211/1715084_30003_0.htm

Apache Hadoop YARN 远程代码漏洞通告 (CVE-2021-25642)

【发布时间:2022-11-02】

1. 漏洞综述

1.1 漏洞背景

Hadoop是一个由Apache基金会所开发的分布式系统基础架构,它实现了Map/Reduce编程范型,计算任务会被分割成多个小块运行在不同的节点上。近日,新华三攻防实验室威胁预警团队监测到Apache官方发布了安全公告,修复了Hadoop中的一个远程代码执行漏洞(CVE-2021-25642),恶意攻击者可以利用该漏洞在Hadoop服务器上执行任意代码。

1.2 漏洞详情

ZKConfigurationStore是由Apache Hadoop YARN的CapacityScheduler可选使用的,由于ZKConfigurationStore可在未经身份验证的情况下通过反序列化形式从ZooKeeper获得的数据,因此能够远程访问ZooKeeper的恶意攻击者,可以利用该漏洞以YARN使用者身份在服务器上运行任意代码。

2. 影响范围

2.9.0 <= Apache Hadoop <= 2.10.1

3.0.0-alpha <= Apache Hadoop <= 3.2.3

3.3.0 <= Apache Hadoop <= 3.3.3

3. 严重等级

高危

4. 处置方法

4.1 官方补丁

目前官方已修复该漏洞,受影响用户可以升级更新到Apache Hadoop 2.10.2、3.2.4、3.3.4 或更高版本,官方链接:https://hadoop.apache.org/releases.html

5. 参考链接

https://lists.apache.org/thread/g6vf2h4wdgzzdgk91mqozhs58wotq150

新华三官网
联系我们