一、漏洞详情
Apache Hadoop YARN(Yet Another Resource Negotiator,另一种资源协调者)是一种新的Hadoop资源管理器,它是一个通用资源管理系统和调度平台。
Apache官方发布安全公告,修复了Apache Hadoop YARN中的一个远程代码执行漏洞(CVE-2021-25642)。
ZKConfigurationStore是Apache Hadoop YARN的CapacityScheduler可选使用的,由于ZKConfigurationStore可在未经验证的情况下反序列化从ZooKeeper获得的数据,因此能够访问ZooKeeper的威胁者可以利用此漏洞以YARN用户身份运行任意命令。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
2.9.0 <= Apache Hadoop <= 2.10.1
3.0.0-alpha <= Apache Hadoop <= 3.2.3
3.3.0 <= Apache Hadoop <= 3.3.3
三、修复建议
目前此漏洞已经修复,受影响用户可升级到Apache Hadoop 2.10.2、3.2.4、3.3.4或更高版本(包含 YARN-11126)。
下载链接:https://hadoop.apache.org/releases.html
注:不使用ZKConfigurationStore的用户不易受到此漏洞影响。
Designed by