Apache Spark XSS误差清静通告

宣布时间 2018-07-13

误差编号

CVE-2018-8024 

 

误差级别

厂商自评:中危  CVSS分值:官方未评定

 

影响规模

受影响的版本

Spark 2.1.2

Spark 2.2.02.2.1

Spark 2.3.0

 

误差概述

Apache Spark是基于内存盘算的大数据并行盘算框架,,,在大数据情形中普遍应用。。。。

Apache Spark中,,,包括2.1.2,2.2.02.2.12.3.0,,,恶意用户可以构建一个指向Spark集群UI作业和阶段信息页面的URL,,,若是用户被诱骗会见URL,,,可从用户的Spark UI视图中导致剧本执行以及信息走漏。。。。虽然一些浏览器(如最近版本的ChromeSafari)能够阻止此类攻击,,,但目今版本的Firefox(可能尚有其他)还受影响。。。。

 

修复建议

现在官方已修复该误差

1.x, 2.0.x,2.1.x升级至2.1.3。。。。 

2.2.x升级至2.2.2。。。。

2.3.x升级至2.3.1。。。。

 

参考链接

http://www.scap.org.cn/CVE-2018-8024.html

https://lists.apache.org/thread.html/5f241d2cda21cbcb3b63e46e474cf5f50cce66927f08399f4fab0aba@<dev.spark.apache.org>

https://spark.apache.org/security.html