一、漏洞分析
Apache Hadoop YARN 存在安全漏洞,该漏洞源于其 CapacityScheduler 可选地使用 ZKConfigurationStore 时,它将从 ZooKeeper 获取的数据反序列化而无需验证。能够访问 ZooKeeper 的 攻击者可以利用该漏洞以 YARN 用户的身份运行任意命令。
二、风险等级
严重
三、影响范围
影响版本: Apache Hadoop >=2.9.0,<2.10.2 Apache Hadoop >=3.0.0,<3.2.4 Apache Hadoop >=3.3.0,<3.3.4
四、处置建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://lists.apache.org/thread/g6vf2h4wdgzzdgk91mqozhs 58wotq150 参考链接 https://nvd.nist.gov/vuln/detail/CVE-2021-25642