CVE-2021-38296

Versões 3.1.2 e anteriores do Apache Spark

O Apache Spark oferece suporte à criptografia de ponta a ponta de conexões RPC por meio de spark.authenticate e spark.network.crypto.enabled. Nas versões afetadas, ele utiliza um protocolo de autenticação mútua personalizado que permite a recuperação completa da chave de criptografia. Após um ataque interativo inicial, isso permitiria que alguém descriptografasse o tráfego de texto simples offline. Observe que isso não afeta os mecanismos de segurança controlados por spark.authenticate.enableSaslEncryption, spark.io.encryption.enabled, spark.ssl e spark.ui.strictTransportSecurity.

Atualize para o Apache Spark 3.1.3 ou posterior. Como solução temporária, considere restringir o uso do protocolo de autenticação mútua personalizado até que um patch esteja disponível. Restrinja o acesso às conexões RPC para minimizar o risco de exploração. Evite usar o protocolo vulnerável em ambientes de produção até que o problema seja resolvido.