CVE-2022-25168

Versões do Apache Hadoop anteriores à 2.10.2

Versões do Apache Hadoop anteriores à 3.2.4

Versões do Apache Hadoop anteriores à 3.3.3

O problema está relacionado à API FileUtil.unTar(File, File) no Apache Hadoop, que não escapa o nome do arquivo de entrada antes de ser passado para o shell, permitindo que um invasor injete comandos arbitrários. Essa API é usada no Hadoop 3.3 InMemoryAliasMap.completeBootstrapTransfer, que é executado apenas por um usuário local, e no Hadoop 2.x para localização do YARN, permitindo a execução remota de código. Ela também é usada no Apache Spark a partir do comando SQL ADD ARCHIVE, mas a execução de scripts de shell não confere novas permissões ao chamador.

Para resolver o problema, os usuários devem atualizar para o Apache Hadoop 2.10.2 ou superior.

Para resolver o problema, os usuários devem atualizar para o Apache Hadoop 3.2.4 ou superior.

Para resolver o problema, os usuários devem atualizar para o Apache Hadoop 3.3.3 ou superior.

Como solução alternativa temporária, considere restringir o uso da API FileUtil.unTar(File, File) até que um patch esteja disponível.

Evite usar o comando SQL ADD ARCHIVE no Apache Spark até que o problema seja resolvido.