Spark（3.1.2|Spark（3.1.2, 3.2.1, 3.3.0版本）shell命令注入漏洞 3.3.0版本）shell命令注入漏洞

实验室昨天第一时间监测到的0day漏洞，目前已上线检测

漏洞描述 Spark 是用于大规模数据处理的统一分析引擎。?
由于 Hadoop 中"org.apache.hadoop.fs.FileUtill"类的“unTar”中针对 tar 文件的处理调了系统命令去解压，造成了 shell 命令注入的风险。?
攻击者可以通过该漏洞实现任意命令执行。
影响产品：Apache spark
发现时间：2022-03-24 11:12:38
发现方式：墨菲安全实验室情报预警监控
组件名称：org.apache.spark:spark-core
影响版本：3.1.2, 3.2.1, 3.3.0
缺陷类型：shell命令注入
缺陷评级：高危
墨菲安全实验室于3月24日监测发现spark存在shell命令注入漏洞，已第一时间报送CNVD。
漏洞分析在spark 3.1.2, 3.2.1, 3.3.0版本的 core/src/main/scala/org/apache/spark/util/Utils.scala 代码中调用了FileUtil.unTar方法对tar包进行解压

Spark（3.1.2|Spark（3.1.2, 3.2.1, 3.3.0版本）shell命令注入漏洞

文章图片

FileUtil.unTar方法在非windows的环境中调用了unTarUsingTar方法

文章图片

Spark中调用的unTarUsingTar方法为hadoop中的hadoop-common-project/hadoop-common/src/main/java/org/apache/hadoop/fs/FileUtil.java，其对文件名拼接之后通过tar命令进行解压，在处理过程中未对文件名进行转义。

文章图片

处置建议官方已发布补丁，参考链接:https://github.com/apache/spark/commit/057c051285ec32c665fb458d0670c1c16ba536b2
参考链接 【Spark（3.1.2|Spark（3.1.2, 3.2.1, 3.3.0版本）shell命令注入漏洞】https://github.com/apache/spark/commit/057c051285ec32c665fb458d0670c1c16ba536b2
https://issues.apache.org/jira/browse/SPARK-38631
https://github.com/apache/hadoop/blob/trunk/hadoop-common-project/hadoop-common/src/main/java/org/apache/hadoop/fs/FileUtil.java#L892
https://github.com/apache/hadoop/commit/cae749b076f35f0be13a926ee8cfbb7ce4402746