Vulnerabilidad de inyección de comandos en Apache Spark
INTRODUCCIÓN
Se ha encontrado una nueva vulnerabilidad de inyección de comandos en la interfaz de usuario de Apache Spark (CVE-2022-33891).
ANÁLISIS
La interfaz de usuario de Apache Spark ofrece la posibilidad de habilitar ACLs a través de la opción de configuración spark.acls.enable. Con un filtro de autenticación, se comprueba si un usuario tiene permisos de acceso para ver o modificar la aplicación. Si las ACLs están habilitadas, una ruta de código en HttpSecurityFilter puede permitir que alguien realice una suplantación de identidad proporcionando un nombre de usuario arbitrario. Un usuario malicioso podría entonces ser capaz de llegar a una función de comprobación de permisos que finalmente construirá un comando de shell Unix basado en su entrada, y lo ejecutará. Esto dará lugar a la ejecución de un comando shell arbitrario.
Versiones afectadas:
- <=3.0.3
- 3.1.1 a 3.1.2
- 3.2.0 a 3.2.1
RECOMENDACIONES
Los usuarios deben actualizar Apache Spark a la versión 3.1.3, 3.2.2 o 3.3.0 o posterior.
REFERENCIAS
https://securityonline.info/cve-2022-33891-apache-spark-shell-command-injection-vulnerability/
https://nvd.nist.gov/vuln/detail/CVE-2022-33891