Vulnerabilidad en la API FileUtil.unTar(File, File) de Apache Hadoop (CVE-2022-25168)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
04/08/2022
Última modificación:
26/06/2023
Descripción
La API FileUtil.unTar(File, File) de Apache Hadoop no escapa el nombre del archivo de entrada antes de pasarlo al shell. Un atacante puede inyectar comandos arbitrarios. Esto sólo es usado en Hadoop versión 3.3 InMemoryAliasMap.completeBootstrapTransfer, que sólo es ejecutado un usuario local. Se ha usado en Hadoop versión 2.x para la localización de hilos, que sí permite una ejecución de código remota . Es usado en Apache Spark, desde el comando SQL ADD ARCHIVE. Como el comando ADD ARCHIVE añade nuevos binarios al classpath, el hecho de poder ejecutar scripts de shell no confiere nuevos permisos a quien lo llama. SPARK-38305. "Comprobar la existencia de un archivo antes de desarchivar/comprimir", que es incluida en versiones 3.3.0, 3.1.4 y 3.2.2, impide la ejecución de comandos de shell, independientemente de la versión de las bibliotecas de Hadoop que se esté usando. Los usuarios deben actualizar a Apache Hadoop versiones 2.10.2, 3.2.4, 3.3.3 o superior (incluyendo HADOOP-18136)
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:hadoop:*:*:*:*:*:*:*:* | 2.0.0 (incluyendo) | 2.10.1 (incluyendo) |
| cpe:2.3:a:apache:hadoop:*:*:*:*:*:*:*:* | 3.0.0 (incluyendo) | 3.2.3 (incluyendo) |
| cpe:2.3:a:apache:hadoop:*:*:*:*:*:*:*:* | 3.3.0 (incluyendo) | 3.3.2 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página