1. 通告信息

近日，安识科技A-Team团队监测到Apache官方发布安全公告，修复了Apache Hadoop YARN中的一个远程代码执行漏洞（CVE-2021-25642）。

对此，安识科技建议广大用户及时升级到安全版本，并做好资产自查以及预防工作，以免遭受黑客攻击。

2. 漏洞概述

Apache Hadoop YARN （Yet Another Resource Negotiator，另一种资源协调者）是一种新的 Hadoop 资源管理器，它是一个通用资源管理系统和调度平台。

ZKConfigurationStore是Apache Hadoop YARN的CapacityScheduler可选使用的，由于ZKConfigurationStore可在未经验证的情况下反序列化从ZooKeeper获得的数据，因此能够访问ZooKeeper的威胁者可以利用此漏洞以YARN用户身份运行任意命令。

3. 漏洞危害

漏洞名称：Apache Hadoop YARN远程代码执行漏洞

CVE编号：CVE-2021-25642

ZKConfigurationStore是Apache Hadoop YARN的CapacityScheduler可选使用的，由于ZKConfigurationStore可在未经验证的情况下反序列化从ZooKeeper获得的数据，因此能够访问ZooKeeper的威胁者可以利用此漏洞以YARN用户身份运行任意命令。

4. 影响版本

目前受影响的 Apache Hadoop产品版本：

2.9.0 <= Apache Hadoop <= 2.10.1

3.0.0-alpha <= Apache Hadoop <= 3.2.3

3.3.0 <= Apache Hadoop <= 3.3.3

5. 解决方案

目前此漏洞已经修复，受影响用户可升级到Apache Hadoop 2.10.2、3.2.4、3.3.4 或更高版本（包含 YARN-11126）。

下载链接：

https://hadoop.apache.org/releases.html

注：不使用ZKConfigurationStore的用户不易受到此漏洞影响。

参考链接：

https://lists.apache.org/thread/g6vf2h4wdgzzdgk91mqozhs58wotq150

https://hadoop.apache.org/

6. 时间轴

【-】2022年08月27日 安识科技A-Team团队监测到漏洞公布信息

【-】2022年08月28日 安识科技A-Team团队根据漏洞信息分析

【-】2022年08月29日 安识科技A-Team团队发布安全通告

本文作者：安识科技

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/186403.html