一、漏洞分析
Apache Hadoop YARN 存在安全漏洞,該漏洞源于其 CapacityScheduler 可選地使用 ZKConfigurationStore 時,它將從 ZooKeeper 獲取的數(shù)據(jù)反序列化而無需驗證。能夠訪問 ZooKeeper 的 攻擊者可以利用該漏洞以 YARN 用戶的身份運行任意命令。
二、風險等級
嚴重
三、影響范圍
影響版本: Apache Hadoop >=2.9.0,<2.10.2 Apache Hadoop >=3.0.0,<3.2.4 Apache Hadoop >=3.3.0,<3.3.4
四、處置建議
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接: https://lists.apache.org/thread/g6vf2h4wdgzzdgk91mqozhs 58wotq150 參考鏈接 https://nvd.nist.gov/vuln/detail/CVE-2021-25642