CVE-2021-25642

CRITIC: (9.8)

CVSS3: 8.5

Apache Hadoop podria permetre a un atacant remot autenticat executar ordres arbitràries en el sistema, causat per una fallada quan s’utilitza ZKConfigurationStore. En enviar una sol·licitud especialment dissenyada, un atacant podria explotar aquesta vulnerabilitat per a executar ordres arbitràries com a usuari de YARN en el sistema.

Sistemes Afectats

• Apache Hadoop 3.0.0-alpha
• Apache Hadoop 2.9.0
• Apache Hadoop 2.10.1
• Apache Hadoop 3.3.0
• Apache Hadoop 3.2.3
• Apache Hadoop 3.3.3

Remediació
Actualitzi a l’última versió d’Apache Hadoop (2.10.2, 3.2.4, 3.3.4 o posterior), disponible en el lloc web d’Apache.

Referències

• https://lists.apache.org/thread/g6vf2h4wdgzzdgk91mqozhs58wotq150
• https://hadoop.apache.org/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25642