PT-2022-9679 · Apache · Apache Hadoop

Liu Ximing

Publicado

2022-08-25

Atualizado

2023-02-10

CVE-2021-25642

CVSS v3.1

8.8

Alta

Vetor

AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Nome do software vulnerável e versões afetadas

Versões do Apache Hadoop anteriores à 2.10.2

Versões do Apache Hadoop anteriores à 3.2.4

Versões do Apache Hadoop anteriores à 3.3.4

Descrição

O ZKConfigurationStore, usado opcionalmente pelo CapacityScheduler do Apache Hadoop YARN, desserializa dados do ZooKeeper sem validação, permitindo que um invasor com acesso ao ZooKeeper execute comandos arbitrários como usuário do YARN.

Recomendações

Para versões anteriores à 2.10.2, atualize para o Apache Hadoop 2.10.2 ou posterior.

Para versões anteriores à 3.2.4, atualize para o Apache Hadoop 3.2.4 ou posterior.

Para versões anteriores à 3.3.4, atualize para o Apache Hadoop 3.3.4 ou posterior.

Correção

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-502

Identificadores relacionados

CVE-2021-25642

GHSA-RR2M-GFFV-MGRJ

Produtos afetados

Apache Hadoop

PT-2022-9679 · Apache · Apache Hadoop

CVE-2021-25642

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 8