近日，Apache官方发布了安全更新，修复了Apache Spark的一个命令注入漏洞（Apache Spark是美国阿帕奇<Apache>软件基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎）。该漏洞是由于Apache Spark UI提供了通过配置选项spark.acls.enable启用ACL的可能性，Http Security Filter中的代码路径可以通过提供任意用户名来执行模拟。因此恶意用户凭借访问权限检查函数，最终将基于其输入构建Unixshell命令执行它。成功利用此漏洞可导致任意shell命令执行。受影响的版本包括Apache Spark<=3.03、3.1.1<=Apache Spark<=3.1.2、3.2.0<=Apache Spark<=3.2.1。

为做好信息安全防范工作，信息技术中心提醒各部门/单位如有基于受影响的Apache Spark搭建服务的应用系统，尽快升级至安全版本，并在升级前做好数据备份工作。

安全版本下载地址：https://spark.apache.org/downloads.html。