Steve Weis

**Nome do software vulnerável e versões afetadas** Versões 3.1.2 e anteriores do Apache Spark **Descrição** O Apache Spark oferece suporte à criptografia de ponta a ponta de conexões RPC por meio de `spark.authenticate` e `spark.network.crypto.enabled`. Nas versões afetadas, ele utiliza um protocolo de autenticação mútua personalizado que permite a recuperação completa da chave de criptografia. Após um ataque interativo inicial, isso permitiria que alguém descriptografasse o tráfego de texto simples offline. Observe que isso não afeta os mecanismos de segurança controlados por `spark.authenticate.enableSaslEncryption`, `spark.io.encryption.enabled`, `spark.ssl` e `spark.ui.strictTransportSecurity`. **Recomendações** Atualize para o Apache Spark 3.1.3 ou posterior. Como solução temporária, considere restringir o uso do protocolo de autenticação mútua personalizado até que um patch esteja disponível. Restrinja o acesso às conexões RPC para minimizar o risco de exploração. Evite usar o protocolo vulnerável em ambientes de produção até que o problema seja resolvido.