一、漏洞详情
Hadoop是Apache基金会旗下的一个开源的分布式计算平台,基于Java语言开发,有很好的跨平台特性,并且可以部署在廉价的计算机集群中。用户无需了解分布式底层细节,就可以开发分布式程序,充分利用集群的威力进行高速运算和存储。
监测发现Apache Hadoop官方修复了一个命令注入漏洞。由于Apache Hadoop的FileUtil.unTar API在传递shell之前未对输入的文件名进行转义,攻击者可以利用该漏洞注入任意命令,从而实现远程代码执行。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
0.0 <= Apache Hadoop <= 2.10.1
0.0-alpha <= Apache Hadoop <= 3.2.3
3.0 <= Apache Hadoop <= 3.3.2
三、修复建议
目前官方已在最新版本中修复了该漏洞,请受影响的用户尽快安装更新进行防护,官方下载链接:https://hadoop.apache.org/。
Designed by