Vulnerabilidad en una RPC en el maestro de un administrador de recursos independiente en Apache Spark (CVE-2020-9480)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-306
Ausencia de autenticación para una función crítica
Fecha de publicación:
23/06/2020
Última modificación:
07/11/2023
Descripción
En Apache Spark versión 2.4.5 y versiones anteriores, el maestro de un administrador de recursos independiente puede ser configurado para requerir autenticación (spark.authenticate) por medio de un secreto compartido. Sin embargo, cuando está habilitado, una RPC especialmente diseñado para el maestro puede tener éxito al iniciar los recursos de una aplicación en el clúster Spark, incluso sin la clave compartida. Esto se puede aprovechar para ejecutar comandos de shell sobre la máquina host. Esto no afecta a los clústeres de Spark que usan otros administradores de recursos (YARN, Mesos, etc.)
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
9.30
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:spark:*:*:*:*:*:*:*:* | 2.4.5 (incluyendo) | |
| cpe:2.3:a:oracle:business_intelligence:5.5.0.0.0:*:*:*:enterprise:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://lists.apache.org/thread.html/r03ad9fe7c07d6039fba9f2152d345274473cb0af3d8a4794a6645f4b%40%3Cuser.spark.apache.org%3E
- https://lists.apache.org/thread.html/ra0e62a18ad080c4ce6df5e0202a27eaada75222761efc3f7238b5a3b%40%3Ccommits.doris.apache.org%3E
- https://lists.apache.org/thread.html/rb3956440747e41940d552d377d50b144b60085e7ff727adb0e575d8d%40%3Ccommits.submarine.apache.org%3E
- https://lists.apache.org/thread.html/ree9e87aae81852330290a478692e36ea6db47a52a694545c7d66e3e2%40%3Cdev.spark.apache.org%3E
- https://spark.apache.org/security.html#CVE-2020-9480
- https://www.oracle.com/security-alerts/cpuApr2021.html