尊敬的天翼云用户您好:
近日,Apache Spark 呈现 shell 命令注入破绽,该破绽危害较大且 POC 已公开。截至发文以后,天翼云 Web 利用防火墙(边缘云版)已监测并拦挡到大量相干攻打,请相干用户尽快采取措施进行排查与防护。
破绽形容
Apache Spark 是美国阿帕奇(Apache)软件基金会的一款反对非循环数据流和内存计算的大规模数据处理引擎, 如果 Apache Spark UI 启用了 ACL,则 HttpSecurityFilter 中的代码门路容许通过提供任意用户名来模仿执行。歹意用户可能可能拜访权限查看性能,该性能最终将依据他们的输出构建一个 Unix shell 命令并执行它。这将导致任意 shell 命令执行。
破绽详情
破绽名称 :Apache Spark shell 命令注入破绽
破绽编号 :CVE-2022-33891
破绽类型 :命令注入组件名称:Apache Spark 影响版本:Spark Core – Apache<=3.0.3>=3.1.1&&<=3.1.2>=3.2.0&&<=3.2.1
破绽等级:高危
自检倡议
获取 spark 版本,判断其版本是否在 (∞, 3.0.3]、3.2.0, 3.2.2)范畴中。
破绽修复或缓解倡议
厂商已公布补丁修复破绽,用户请尽快更新至平安版本:Apache Spark 3.1.3、3.2.2 或 3.3.0 或更高版本。
天翼云 Web 利用防火墙(边缘云版)已反对检测拦挡该破绽
天翼云平安钻研团队在 2022 年 7 月 18 日即开启对该破绽的关注与钻研工作,提前对该破绽进行预警进攻,已于 2022 年 7 月 18 日反对该破绽防护,并于 2022 年 7 月 20 日捕捉该 Apache Spark shell 命令注入破绽的攻击行为,在攻击行为大规模暴发之前就帮忙用户提前进行检测与进攻。
Web 利用防火墙(边缘云版)
1. 订购 Web 利用防火墙(边缘云版)后,在自助客户控制台接入防护域名,接入防护域名默认反对防护,不须要手动更新规定库和配置。
2. 订购 Web 利用防火墙(边缘云版)服务。
第一步,关上天翼云官网 http://www.ctyun.cn,注册并登录;
第二步,未实名认证的用户需按提醒实现实名认证能力开明 Web 利用防火墙(边缘云版)服务;
第三步,BCP 门户曾经反对订购,订购后自助开明性能;点击业务受理单 - 创立受理单(试用 / 商用)- 增加资源 - 平安产品 -Web 利用防火墙(边缘云版)- 提交资源。
3、开明胜利后,登录客户控制台:https://cdn.ctyun.cn/h5/ctwaf,接入防护域名,防护开关确认为开启。
第一步,进入 Web 利用防火墙(边缘云版)客户控制台,抉择【域名治理】,点击【增加域名】;第二步,填写域名接入信息,依据页面的疏导填写域名的源站信息、申请协定、服务端口、回源协定和回源端口等信息;
增加域名配置页
第三步,依据您的需要,填写完域名的源站信息、申请协定、服务端口、回源协定和回源端口等信息,点击【下一步】填写域名平安配置页面;
域名平安配置信息页
第四步,抉择域名的防护模式和防护模版后,点击【提交】;提交胜利后,能够点击【返回域名列表】页面;
第五步,实现新增域名操作,配置实现后,域名治理页面提供 cname 地址;
第六步,要启用 Web 利用防火墙服务,须要您将防护域名的 DNS 解析指向咱们提供的 CNAME,这样拜访防护域名的申请能力转发到平安节点上,达到防护成果。