通知公告

关于Apache Airflow Spark Provider反序列化漏洞的预警通报
发布日期:2023-11-09 09:10 浏览量:

Apache Airflow Spark Provider存在反序列化漏洞,漏洞编号:CVE-2023-40195,漏洞威胁等级:高危。

当在Airflow部署上安装Apache Spark程序时,攻击者将Airflow节点指向恶意Spark服务器,构造反序列化利用链从而造成任意代码执行。

(一)漏洞影响范围:

Apache-Airflow Spark Provider<4.1.3

(二)漏洞修复建议:

将组件Apache-Airflow Spark Provider升级到4.1.3或更高版本。链接如下:https://lists.apache.org/thread/fzy95b1d6zv31j5wrx3znhzcscck2o24

https://github.com/apache/airflow/pull/33233。