Apache Hive & Spark信息泄露漏洞CVE-2024-23945

Apache Spark 和 Apache Hive 是两个在大数据生态系统领域中广泛使用的开源项目框架，分别用于分布式数据处理和分析大规模数据集。

Apache Spark 是快速、通用、分布式计算系统，用于大规模数据处理，提供内存计算能力，支持Scala、Java、Python等多种编程语言。

Apache Hive 是一个基于 Hadoop 的数据仓库工具，其提供了类似 SQL 的查询语言 Hive QL，该项目适用于大规模数据仓库和数据分析。

一、基本情况

Apache Spark和Apache Hive是大规模数据处理开源工具，在数据仓库领域具有广泛应用，两者的关系可理解为“Hive是Spark上层抽象”。

Spark快速、高效的大数据处理引擎，可以处理批量数据和流式数据；Hive是一个基于Hadoop的数据仓库工具，可处理大量结构化数据。

栋科技漏洞库关注到 Apache Hive 和 Apache Spark 中存在一个敏感信息泄露漏洞，追踪为CVE-2024-23945，该漏洞的CVSS评分为8.7。

二、漏洞分析

CVE-2024-23945漏洞是 Apache Hive 和 Apache Spark 中存在的CookieSigner 逻辑存在安全漏洞，可能导致敏感信息泄露等情况发生。

当签名验证失败时，系统错误地将正确的签名值暴露给用户，导致攻击者通过构造错误的 Cookie 请求触发签名验证失败并获取有效签名。

成功利用该漏洞可能允许攻击者伪造合法 Cookie，从而绕过认证机制，导致未授权访问，并可能进一步引发会话劫持、权限提升等攻击。

三、影响范围

1.2.0 <= Apache Hive < 4.0.0

2.0.0 <= Apache Spark < 3.0.0

3.0.0 <= Apache Spark < 3.3.4

3.4.0 <= Apache Spark < 3.4.2

Apache Spark 3.5.0  中受影响的组件如下：

· org.apache.hive:hive-service

· org.apache.spark:spark-hive-thriftserver_2.11

· org.apache.spark:spark-hive-thriftserver_2.12

四、修复建议

该漏洞目前已经修复，受影响用户可升级到以下版本：

Apache Hive >= 4.0.0

Apache Spark 2.x 系列 >= 3.0.0

Apache Spark 3.0.0系列 >= 3.3.4

Apache Spark 3.4.0系列 >= 3.4.2

Apache Spark 3.5.0 >= 3.5.1

五、参考链接

此处内容已隐藏，评论后刷新即可查看！