9VSA20-00267-01 CSIRT comparte vulnerabilidad y mitigación obtenida de Apache Spark
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información obtenida de Apache Spark respecto a vulnerabilidad que permite la evasión de medidas de autenticación. El presente informe incluye la respectiva medida de mitigación.
Vulnerabilidad
CVE-2020-9480
El maestro de un administrador de recursos independientes podía configurarse para requerir autenticación (spark.autheticate) a través de una llave compartida. Sin embargo, al activarlo, un “RPC” especialmente diseñado para el maestro podía ejecutar exitosamente recursos de la aplicación en el cluster Spark, aun sin esta llave. Esto podía utilizarse para ejecutar comandos de Shell en la máquina afectada.
Esta vulnerabilidad no afecta a clusters que utilicen otros administradores de recursos, como YARN, Mesos, etc.
Productos Afectados
Apache Spark versión 2.4.5 y anteriores.
Mitigaciones
Actualizar a la versión 2.4.6 o 3.0.0 de Apache Spark.
Enlaces
https://spark.apache.org/security.html#CVE-2020-9480
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9480
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00267-01