Hideyuki Furue

**Name of the Vulnerable Software and Affected Versions** Apache Spark versions prior to 3.4.0 **Description** The issue is related to insecure privilege management in the spark-submit function of Apache Spark. This allows an application to execute code with the privileges of the submitting user by providing malicious configuration-related classes on the classpath. Architectures relying on proxy-user, such as those using Apache Livy to manage submitted applications, are affected. **Recommendations** Update to Apache Spark 3.4.0 or later, and ensure that `spark.submit.proxyUser.allowCustomClasspathInClusterMode` is set to its default of "false", and is not overridden by submitted applications.

**Nome do software vulnerável e versões afetadas** Versões do Apache Hive anteriores à 3.1.3 **Descrição** O problema decorre da falta de verificações de autorização necessárias para as entidades envolvidas na consulta durante as operações das funções `CREATE` e `DROP`. Isso permite que um usuário não autorizado manipule uma UDF existente sem os privilégios adequados, possibilitando que ele elimine e recrie UDFs que apontam para arquivos JAR potencialmente maliciosos. **Recomendações** Para versões anteriores à 3.1.3, atualize para a versão 3.1.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às operações das funções `CREATE` e `DROP` apenas a usuários autorizados e monitore de perto as manipulações de UDFs para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Apache Hadoop 2.2.0 a 2.10.1 Versões do Apache Hadoop 3.0.0-alpha1 a 3.1.4 Versões do Apache Hadoop 3.2.0 a 3.2.2 Versões do Apache Hadoop 3.3.0 a 3.3.1 **Descrição** Um usuário com privilégios de acesso ao usuário yarn pode, possivelmente, executar comandos arbitrários como usuário root. **Recomendações** Para as versões do Apache Hadoop 2.2.0 a 2.10.1, atualize para o Apache Hadoop 2.10.2 ou superior. Para as versões do Apache Hadoop 3.0.0-alpha1 a 3.1.4, atualize para o Apache Hadoop 3.2.3 ou superior. Para as versões do Apache Hadoop 3.2.0 a 3.2.2, atualize para o Apache Hadoop 3.2.3 ou superior. Para as versões do Apache Hadoop 3.3.0 a 3.3.1, atualize para o Apache Hadoop 3.3.2 ou superior.