您好,欢迎访问中国矿业大学徐海学院图文信息中心网站
服务指南
关于Apache Hadoop YARN远程代码执行漏洞(CVE-2021-25642)的预警提示
发布时间:2022-08-30
作者: 图档网信办公室
浏览次数:175

一、漏洞详情

Apache Hadoop YARNYet Another Resource Negotiator,另一种资源协调者)是一种新的Hadoop资源管理器,它是一个通用资源管理系统和调度平台。

Apache官方发布安全公告,修复了Apache Hadoop YARN中的一个远程代码执行漏洞(CVE-2021-25642)。

ZKConfigurationStoreApache Hadoop YARNCapacityScheduler可选使用的,由于ZKConfigurationStore可在未经验证的情况下反序列化从ZooKeeper获得的数据,因此能够访问ZooKeeper的威胁者可以利用此漏洞以YARN用户身份运行任意命令。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

2.9.0 <= Apache Hadoop <= 2.10.1

3.0.0-alpha <= Apache Hadoop <= 3.2.3

3.3.0 <= Apache Hadoop <= 3.3.3

三、修复建议

目前此漏洞已经修复,受影响用户可升级到Apache Hadoop 2.10.23.2.43.3.4或更高版本(包含 YARN-11126)。

下载链接:https://hadoop.apache.org/releases.html

注:不使用ZKConfigurationStore的用户不易受到此漏洞影响。


服务指南
热门栏目
中国矿业大学徐海学院 版权所有 Copyright © 2019 All Rights Reserved. 苏公网安备 32031202000355号  苏ICP备10207513号