重庆若可网络安全测评技术有限公司- 关于 Apache Hadoop 代码问题漏洞（CVE-202 1-25642）的安全公告

关于 Apache Hadoop 代码问题漏洞（CVE-202 1-25642）的安全公告

漏洞资讯 | 2022-11-17

一、漏洞分析

Apache Hadoop YARN 存在安全漏洞，该漏洞源于其 CapacityScheduler 可选地使用 ZKConfigurationStore 时，它将从 ZooKeeper 获取的数据反序列化而无需验证。能够访问 ZooKeeper 的攻击者可以利用该漏洞以 YARN 用户的身份运行任意命令。

二、风险等级

严重

三、影响范围

影响版本： Apache Hadoop >=2.9.0，<2.10.2 Apache Hadoop >=3.0.0，<3.2.4 Apache Hadoop >=3.3.0，<3.3.4

四、处置建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://lists.apache.org/thread/g6vf2h4wdgzzdgk91mqozhs 58wotq150 参考链接 https://nvd.nist.gov/vuln/detail/CVE-2021-25642