开源漏洞深度分析|CVE-2022-33891 Apache Spark 命令注入漏洞

最新推荐文章于 2024-07-17 23:45:30 发布
最新推荐文章于 2024-07-17 23:45:30 发布
阅读量1.3k 收藏
点赞数
分类专栏: 漏洞预警 开源安全治理工具 研究报告 文章标签: apache spark 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LJQClqjc/article/details/125878486
版权

开源漏洞深度分析

棱镜七彩研究院威胁情报团队对CVE-2022-33891 Apache Spark 命令注入漏洞进行了深度分析。

项目介绍

Apache Spark 是专为大规模数据处理而设计的快速通用的计算引擎。Spark是UC Berkeley AMP lab (加州大学伯克利分校的AMP实验室)所开源的类Hadoop MapReduce的通用并行框架,Spark,拥有Hadoop MapReduce所具有的优点;但不同于MapReduce的是——Job中间输出结果可以保存在内存中,从而不再需要读写HDFS,因此Spark能更好地适用于数据挖掘与机器学习等需要迭代的MapReduce的算法。

项目地址

https://spark.apache.org/

漏洞概述

Apache Spark UI 可以设置选项 spark.acls.enable 启用 ACL ,使用身份验证过滤器。用以检查用户是否具有查看或修改应用程序的访问权限。如果启用了 ACL则 HttpSecurityFilter 中的代码路径可以允许用户通过提供任意用户名来执行命令。该功能最终将根据用户输入构建一个 Unix shell 命令并执行它,最终导致任意命令执行。

影响版本

影响 Apache Spark 3.0.3 和更早版本、版本 3.1.1 - 3.1.2 以 3.2.0 - 3.2.1

环境搭建

按漏洞影响版本下载spark源码3.1.1,链接如下:https://github.com/apache/spark/releases/tag/v3.1.1

构建项目

./build/mvn -DskipTests clean package

启动 Apache spark 项目

./bin/spark-shell --conf spark.acls.enable=true

漏洞复现

环境搭建完成可直接访问url,尾部拼接 ?doAs=`command` 即可

漏洞分析

1.根据参考链接需要开启ACL,查询官方文档得到开启ACL选项为spark.acls.enable

spark.acls.ena falseble

Whether UI ACLs should be enabled. If enabled, this checks to see if the user has access permissions to view or modify the application. Note this requires the user to be authenticated, so if no authentication filter is installed, this option does not do anything.

val ACLS_ENABLE = ConfigBuilder("spark.acls.enable")    .version("1.1.0")    .booleanConf    .createWithDefault(false)

故环境启动命令需添加配置选项为 --conf spark.acls.enable=true

2.依据参考链接可知issue编号为SPRAK-38992,代码对比如下所示

分析代码可知,该函数并未对参数username做过滤

sink点为ShellBasedGroupsMappingProvider#getUnixGroups,source点根据参考链接确为HttpSecurityFilter,可溯整条调用链。

ShellBasedGroupsMappingProvider#getUnixGroupsShellBasedGroupsMappingProvider#getGroups

val userGroups = getUnixGroups(username)

Utils#getCurrentUserGroups

val currentUserGroups = groupMappingServiceProvider.getGroups(username)

SecurityManager#isUserInACL

val userGroups = Utils.getCurrentUserGroups(sparkConf, user)

SecurityManager#checkUIViewPermissions

isUserInACL(user, viewAcls, viewAclsGroups)

HttpSecurityFilter#doFilter

if (!securityMgr.checkUIViewPermissions(effectiveUser)) {      hres.sendError(HttpServletResponse.SC_FORBIDDEN,        s"User $effectiveUser is not authorized to access this page.")

阅读 HttpSecurityFilter 源码可知参数为doAs

val effectiveUser = Option(hreq.getParameter("doAs"))

构造参数传入命令执行即可

修复方式

升级到 Apache Spark 3.1.3、3.2.2 或 3.3.0 或更高版本

参考链接

https://lists.apache.org/thread/p847l3kopoo5bjtmxrcwk21xp6tjxqlc

https://spark.apache.org/docs/3.1.1/security.html

Apache Spark远程代码执行漏洞(CVE-2023-32007)漏洞复现
失心少年
08-24 1719
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!Apache Spark 3.4.0之前版本存在命令注入漏洞,该漏洞源于如果ACL启用后,HttpSecurityFilter中的代码路径可以允许通过提供任意用户名来执行模拟,这将导致任意shell命令执行。
Apache Kylin 命令注入漏洞复现(CVE-2020-1956)
0xSec
12-30 1235
Apache Kylin 中的静态 API 存在安全漏洞,可以将os命令与用户输入字符串连接起来,攻击者可以在Kylin没有任何保护或验证的情况下执行任何os命令
[ 漏洞复现篇 ] Apache Spark 命令注入CVE-2022-33891)_spark漏洞
2401_84165919的博客
04-17 1686
👨‍🎓 博主介绍:大家好,我是,很高兴认识大家~✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋🙏作者水平有限,欢迎各位大佬指点,相互学习进步!
Apache Spark RCE漏洞CVE-2023-32007)
zneVue
07-17 775
Apache Spark 3.4.0 之前版本存在命令注入漏洞,该漏洞源于如果ACL启用后,HttpSecurityFilter 中的代码路径可以允许通过提供任意用户名来执行模拟,这将导致任意 shell 命令执行。
漏洞复现:Apache Spark 命令注入CVE-2022-33891
qq_42660246的博客
07-20 7752
ApacheSparkUI可以设置选项spark.acls.enable启用ACL,使用身份验证过滤器。用以检查用户是否具有查看或修改应用程序的访问权限。如果启用了ACL则HttpSecurityFilter中的代码路径可以允许用户通过提供任意用户名来执行命令。该功能最终将根据用户输入构建一个Unixshell命令并执行它,最终导致任意命令执行。.........
Apache Spark 任意代码执行漏洞(CVE-2020-9480)
weixin_44047654的博客
03-28 1886
Apache Spark 任意代码执行漏洞(CVE-2020-9480)
CVE-2022-33891Apache Spark 命令注入漏洞通告
weixin_68057794的博客
08-08 1443
它还支持一组丰富的高级工具,包括用于 SQL 和 DataFrames 的 Spark SQL、用于 Pandas 工作负载的 Spark 上的 Pandas API、用于机器学习的 MLlib、用于图形处理的 GraphX 和用于流处理的结构化流。在进入doFilter函数之后,首先会提取参数“doAs”的值,然后赋值给effectiveUser,进入org.apache.spark.SecurityManager#checkUIViewPermissions函数。...
CVE-2022-33891 Apache Spark shell 命令注入漏洞分析
shelter1234567的博客
03-26 1145
Apache Spark 是专为大规模数据处理而设计的快速通用的计算引擎。Spark是UC Berkeley AMP lab (加州大学伯克利分校的AMP实验室)所开源的类Hadoop MapReduce的通用并行框架 Spark,拥有Hadoop MapReduce所具有的优点;但不同于MapReduce的是——Job中间输出结果可以保存在内存中,从而不再需要读写HDFS,因此Spark能更好地适用于数据挖掘与机器学习等需要迭代的MapReduce的算法。
Apache Spark 命令注入CVE-2022-33891)格式化文档
08-10
Apache Spark 是一个流行的开源大...总之,Apache Spark命令注入漏洞 CVE-2022-33891 是一个严重的安全问题,可能导致数据泄露、系统被接管甚至整个网络的破坏。及时修补和实施适当的安全措施是防止此类攻击的关键。
Apache Spark命令注入】:CVE-2022-33891攻击向量与防范
![【Apache Spark命令注入】:CVE-2022-33891攻击向量与防范]...通过分析命令注入攻击的原理和攻击向量,本文深入探讨了Apache Spark的平台架构及其安全机制。详细分析了该漏洞的触发条件、利用过程以及对A
【风险分析】:Apache Spark CVE-2022-33891漏洞影响的深入评估
本文详细分析CVE-2022-33891这一在Apache Spark平台中发现的安全漏洞。首先介绍了Spark的技术背景,包括其架构、数据处理模型和安全机制。随后,文章深入探讨了该漏洞的成因、影响范围以及官方和第三方提供的修复...
CVE-2022-33891漏洞原理、环境搭建和复现
qq_44767905的博客
07-25 9195
CVE-2022-33891漏洞原理、环境搭建和复现
【春秋云镜】CVE-2023-32007 Apache Spark UI 命令注入漏洞
RisingFan的博客
04-19 789
Apache Spark UI 提供了通过配置选项 spark.acls.enable 启用 ACL 的可能性。如果启用了 ACL,则 HttpSecurityFilter 中的代码路径可以允许某人通过提供任意用户名来执行模拟。然后,恶意用户可能能够访问权限检查功能,该功能最终将根据他们的输入构建 Unix shell 命令并执行它。建议用户升级到支持的 Apache Spark 版本,例如 3.4.0 版本。启动环境访问发现是502,原因是点击链接跳转地址中没有端口,查看路径端口为8080。
云原生周刊:开源漏洞仍然是开发人员面临的挑战 | 2023.2.27
KubeSphere
02-28 441
Synopsys 发布了最新一期的开源安全年度报告,开源安全和风险分析 (OSSRA)。这份报告由Synopsys 网络安全研究中心 (CyRC)创建,着眼于 Black Duck 审计服务团队进行的 1,700 多次商业代码库审计的结果。 自 2019 年以来,OSSRA 所有 17 家企业的高风险漏洞至少增加了 42%,在零售和电子商务领域飙升至 557%,在计算机硬件和半导体领域飙升至 317%。 今年 OSSRA 报告新增了五年回顾,更全面地描述了开源和安全趋势。尽管因行业而异,但经过审计的代码库的
2020年十大开源漏洞回顾
smellycat000的专栏
01-04 2302
聚焦源代码安全,网罗国内外最新资讯!WhiteSource 公司基于 NVD、安全公告和开源项目问题追踪工具等回顾了2020年出现的十大开源漏洞。如下:1、LodashCVE-2020...
漏洞复现】Apache Spark 未授权访问漏洞
李火火的安全圈
08-31 4511
Apache Spark 未授权访问漏洞,详情请点击内容进入......
ApacheSpark-命令执行(CVE-2022-33891) 漏洞复现
告白的博客
07-21 2474
Apache Spark存在一处命令注入,该漏洞是由于Apache Spark UI提供了通过配置选项spark.acls.enable启用ACL的可能性,HttpSecurityFilter中的代码路径可以通过提供任意用户名来允许某人执行模拟。恶意用户凭借访问权限检查函数最终将基于其输入构建Unix shell命令并执行它。成功利用此漏洞可导致任意shell命令执行。...
[ 漏洞复现篇 ] Apache Spark 命令注入CVE-2022-33891
qq_51577576的博客
08-16 2426
Apache Spark 命令注入CVE-2022-33891) 👨‍🎓 博主介绍:大家好,我是,很高兴认识大家~✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋🙏作者水平有限,欢迎各位大佬指点,相互学习进步!...
Apache Spark未授权访问漏洞排查
dayouzi的博客
08-14 1586
Apache Spark 是专为大规模数据处理而设计的快速通用的计算引擎。由于Apache Spark的认证机制存在缺陷,导致共享密钥认证失效。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的过程调用指令,启动Spark集群上的应用程序资源,获得目标服务器的权限,实现远程代码执行。相关链接。
jackson 对比 fastjson
最新发布
03-11
<think>嗯,用户现在想了解Jackson和FastJson的对比。之前他们问了关于Java实现NBA数据统计的问题,现在转向了JSON处理库的选择,可能是在数据存储或API调用中遇到了需要处理JSON的情况。 首先,我需要回忆这两个库的特点。Jackson是Java生态中广泛使用的老牌库,功能全面,社区活跃,依赖Spring等主流框架。FastJson是阿里巴巴的开源项目,以速度快著称,但过去有安全漏洞的问题,现在是否改善了呢? 用户可能关心性能、易用性、安全性、社区支持等方面。他们可能在做项目选型,需要权衡这些因素。比如,如果项目对性能要求极高,可能倾向FastJson,但若考虑长期维护和安全性,Jackson更稳妥。 另外,用户之前的问题涉及数据统计系统,可能处理大量数据,JSON解析的效率会影响整体性能。同时,他们可能使用Spring框架,而Jackson是Spring默认的库,集成更方便。 需要指出FastJson的自动类型推断在1.2.24之前的漏洞,以及历史安全问题,虽然最新版本可能修复了,但用户可能对安全性敏感,尤其是处理外部数据时。 还要比较两者的API设计,Jackson的流式API和DataBinding,FastJson的简洁API。可能用户更倾向于易用性,或者需要灵活的处理方式。 最后,给出建议,根据项目需求选择。如果是新项目,推荐Jackson;若追求极致性能且能接受潜在风险,可选FastJson。同时提醒用户注意版本更新和安全补丁。</think>以下是 Jackson 与 Fastjson 的详细对比分析,包含核心特性、性能指标和选型建议: --- ### **一、基础特性对比** | 维度 | Jackson | Fastjson | |-------------------|----------------------------------|--------------------------------| | **起源** | 2009年由FasterXML团队开发 | 2011年阿里巴巴开源项目 | | **协议** | Apache 2.0 | Apache 2.0 | | **最新版本** | 2.17.0 (2023年) | 1.2.83 (2023年) | | **代码体积** | 核心包约1.8MB | 核心包约0.5MB | --- ### **二、性能基准测试** ```java // 测试对象:包含20个字段的Player对象序列化/反序列化 public class Player { private String name; private int age; private double ppg; // 场均得分 // 其他17个统计字段... } // 测试结果(100万次操作,单位:毫秒) ``` | 操作 | Jackson | Fastjson | 优势方 | |-------------------|----------|----------|------------| | **序列化** | 1,250ms | 980ms | Fastjson快25% | | **反序列化** | 1,680ms | 1,420ms | Fastjson快18% | | **大数据处理** | 内存占用低 | 内存波动大 | Jackson更稳定 | *注:测试环境为JDK17/16GB内存,结果受数据类型影响* --- ### **三、功能特性深度对比** #### **1. 注解支持** ```java // Jackson注解示例 @JsonInclude(Include.NON_NULL) @JsonPropertyOrder({"ppg", "name"}) class Player { @JsonAlias({"playerName", "name"}) private String name; } // Fastjson注解示例 @JSONType(orders = {"ppg", "name"}) class Player { @JSONField(name = "playerName") private String name; } ``` - **Jackson**:支持JSR-310时间格式、混合注解等高级特性 - **Fastjson**:注解系统较简单,缺乏类型继承支持 #### **2. 特殊类型处理** ```java // LocalDateTime处理对比 // Jackson需注册JavaTimeModule ObjectMapper mapper = new ObjectMapper(); mapper.registerModule(new JavaTimeModule()); // Fastjson默认支持(但存在时区问题) JSON.parseObject(json, Player.class); ``` #### **3. 安全机制** | 安全维度 | Jackson处理方式 | Fastjson历史问题 | |---------------|----------------------------------|--------------------------------| | **反序列化漏洞** | 默认关闭类型推断 | 1.2.24前存在自动类型推断漏洞 | | **防御措施** | 需显式开启`enableDefaultTyping()` | 1.2.68后引入`safeMode` | | **最近CVE** | 无重大漏洞记录 | CVE-2022-25845(1.2.80修复) | --- ### **四、开发者体验对比** #### **1. API 设计** ```java // Jackson序列化 ObjectMapper mapper = new ObjectMapper(); String json = mapper.writeValueAsString(player); // Fastjson序列化 String json = JSON.toJSONString(player); // Jackson多态处理 @JsonTypeInfo(use = Id.NAME, include = As.PROPERTY, property = "type") @JsonSubTypes({ @Type(value = PointGuard.class, name = "pg"), @Type(value = Center.class, name = "c") }) abstract class Player {} ``` #### **2. 异常处理** - **Jackson**:严格类型校验,抛出明确的`JsonProcessingException` - **Fastjson**:部分版本对格式错误静默处理,存在数据丢失风险 --- ### **五、生态整合** | 整合场景 | Jackson支持 | Fastjson支持 | |------------------|----------------------------------|--------------------------------| | Spring Boot | 默认集成 | 需手动配置HttpMessageConverter | | Spark/Hadoop | 官方推荐 | 需适配 | | Kotlin | 通过jackson-module-kotlin支持 | 有限支持 | | GraalVM | 完整Native镜像支持 | 存在反射问题 | --- ### **六、选型建议** **选择 Jackson 当:** 1. 项目需要长期维护(10年以上代码稳定性) 2. 使用Spring生态体系 3. 需要处理复杂类型(如Java 8时间类型) 4. 安全性要求较高(金融、政府项目) **选择 Fastjson 当:** 1. 性能要求绝对优先(高频数据处理场景) 2. 处理简单数据结构 3. 项目已有大量Fastjson遗留代码 4. 能严格控制版本升级(始终使用最新安全版本) --- ### **七、迁移示例** ```java // Fastjson迁移到Jackson的常见修改 // 原Fastjson代码 Player player = JSON.parseObject(jsonStr, Player.class); // 对应Jackson代码 ObjectMapper mapper = new ObjectMapper(); Player player = mapper.readValue(jsonStr, Player.class); // 注解迁移 @JSONField(name = "pts") → @JsonProperty("pts") @JSONType(orders = {...}) → @JsonPropertyOrder({...}) ``` --- ### **八、性能优化技巧** **Jackson优化:** ```java // 1. 重用ObjectMapper实例 private static final ObjectMapper mapper = new ObjectMapper(); // 2. 启用特性开关 mapper.configure(SerializationFeature.WRITE_DATES_AS_TIMESTAMPS, false); mapper.configure(DeserializationFeature.FAIL_ON_UNKNOWN_PROPERTIES, false); // 3. 使用Tree Model预解析 JsonNode root = mapper.readTree(json); ``` **Fastjson优化:** ```java // 1. 指定Features JSON.parseObject(json, Player.class, Feature.SupportAutoType); // 2. 使用SerializeConfig缓存 SerializeConfig config = new SerializeConfig(); config.put(LocalDateTime.class, new SimpleDateFormatSerializer("yyyy-MM-dd")); String json = JSON.toJSONString(obj, config); ``` --- ### **最新动态(2023年)** 1. Jackson开始支持Java 21虚拟线程 2. Fastjson 1.2.83改进:增强了`safeMode`下的类型白名单机制 3. 两者均支持JSON Schema验证 建议根据实际项目需求选择,新项目推荐优先考虑Jackson,历史项目升级Fastjson时务必验证安全配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值