CVE-2025-55039

Nome do Software Vulnerável e Versões Afetadas Versões do Apache Spark anteriores a 3.4.4 Versões do Apache Spark anteriores a 3.5.2 Versões do Apache Spark anteriores a 4.0.0

Descrição As versões do Apache Spark anteriores a 3.4.4, 3.5.2 e 4.0.0 utilizam uma cifra de criptografia de rede padrão insegura para comunicação RPC entre nós. Especificamente, quando spark.network.crypto.enabled é definido como true, mas spark.network.crypto.cipher não é configurado explicitamente, o Spark assume por padrão AES no modo CTR (AES/CTR/NoPadding), o que fornece criptografia sem autenticação. Isso permite que um atacante do tipo man-in-the-middle modifique o tráfego RPC criptografado sem ser detectado ao inverter bits no texto cifrado, potencialmente comprometendo mensagens de heartbeat ou dados de aplicação e afetando a integridade dos fluxos de trabalho do Spark. A variável spark.network.crypto.cipher é usada para configurar a cifra de criptografia.

Recomendações Configure spark.network.crypto.cipher para AES/GCM/NoPadding para habilitar a criptografia autenticada. Habilite a criptografia SSL definindo spark.ssl.enabled como true, o que fornece segurança de transporte mais robusta.