首页 > 清静研究 > 清静转达 > 清静通告

Apache Spark XSS误差清静通告

宣布时间 2018-07-13

误差编号

CVE-2018-8024

误差级别

厂商自评：中危 CVSS分值：官方未评定

影响规模

受影响的版本：

Spark 2.1.2

Spark 2.2.0到2.2.1

Spark 2.3.0

误差概述

Apache Spark是基于内存盘算的大数据并行盘算框架，，，，在大数据情形中普遍应用。。。。。。。。

在Apache Spark中，，，，包括2.1.2,2.2.0到2.2.1和2.3.0，，，，恶意用户可以构建一个指向Spark集群UI作业和阶段信息页面的URL，，，，若是用户被诱骗会见URL，，，，可从用户的Spark UI视图中导致剧本执行以及信息走漏。。。。。。。。虽然一些浏览器（如最近版本的Chrome和Safari）能够阻止此类攻击，，，，但目今版本的Firefox（可能尚有其他）还受影响。。。。。。。。

修复建议

现在官方已修复该误差：

1.x, 2.0.x,和2.1.x升级至2.1.3。。。。。。。。

2.2.x升级至2.2.2。。。。。。。。

2.3.x升级至2.3.1。。。。。。。。

参考链接

http://www.scap.org.cn/CVE-2018-8024.html

https://lists.apache.org/thread.html/5f241d2cda21cbcb3b63e46e474cf5f50cce66927f08399f4fab0aba@<dev.spark.apache.org>

https://spark.apache.org/security.html

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

软件升级

投资者关系

清静研究