본문 바로가기

Home > 정보마당 > 공개SW 보안취약점

공개SW 보안취약점

Apache Spark 2.3.0

License 관리자 게시글 작성 시각 2021-06-08 09:42:32 게시글 조회수 1907
컴포넌트 명 : Apache Spark
컴포넌트에 대한 취약점 정보
버전 정보 취약점 ID 취약점 최종 보고일 심각도
2.3.0 CVE-2020-9480 2021/04/02 9.3 (Critical)
취약점 ID : CVE-2020-9480
취약점 상세정보
취약점 설명 In Apache Spark 2.4.5 and earlier, a standalone resource manager's master may be configured to require authentication (spark.authenticate) via a shared secret. When enabled, however, a specially-crafted RPC to the master can succeed in starting an application's resources on the Spark cluster, even without the shared key. This can be leveraged to execute shell commands on the host machine. This does not affect Spark clusters using other resource managers (YARN, Mesos, etc).

2.4.5 이전 버전의 Apache Spark에서는 공유 비밀을 통해 인증 (spark.authenticate)을 요구하도록 독립 리소스 매니저의 마스터를 구성할 수 있습니다. 그러나 활성화되면 특별히 조작된 RPC가 공유 키 없이도 Spark 클러스터에서 어플리케이션의 리소스를 시작할 수 있습니다. 이는 호스트 시스템에서 쉘 명령을 실행하는데 활용할 수 있습니다. 이는 다른 리소스 관리자(YARN, Mesos 등)를 사용하는 Spark 클러스터에 영향을 주지 않습니다.
대응 방안 2.4.5 이상 버전으로 업데이트
기타 -

-

공개SW 보안취약점 - 번호, 컴포넌트 명 및 버전, 취약점ID, 심각도, 취약점 최종보고일, 대응방안
번호 컴포넌트 명 및 버전 취약점ID 심각도 취약점
최종 보고일
대응방안
153 Apache Tomcat 5.5.28-deployer CVE-2020-8022 7.2 (High) 2021/03/17 대응방안보기
152 Spring Framework 4.1.9.RELEASE CVE-2018-1270 7.5 (High) 2021/04/23 대응방안보기
151 Apache Spark 2.3.0 CVE-2020-9480 9.3 (Critical) 2021/04/02 대응방안보기
150 Apache Storm 1.1.0 CVE-2018-11779 7.5 (High) 2019/10/09 대응방안보기
149 Apache Hadoop 2.9.1 CVE-2018-8029 9.0 (Critical) 2020/10/08 대응방안보기
148 Apache Mesos 1.5.0 CVE-2019-0204 9.3 (Critical) 2019/11/14 대응방안보기
147 Apache Camel Netty 2.22.0 CVE-2020-11973 7.5 (High) 2021/03/15 대응방안보기
146 Apache Spark 2.3 CVE-2018-17190 7.5 (High) 2020/08/24 대응방안보기
145 handlebars.js 4.0.0 CVE-2019-19919 7.5 (High) 2019/12/23 대응방안보기
144 unixODBC 2.3.0 CVE-2018-7409 7.5 (High) 2019/08/06 대응방안보기
맨 위로
맨 위로