1. 漏洞概述

2024 年 12 月 25 日，安全运营中心监测到 Apache Hive & Spark 信息泄露漏洞，漏洞编号：CVE-2024-23945，漏洞威胁等级：高危。

2. 漏洞详情

Apache Hive 和 Apache Spark 是两个广泛用于大数据生态系统的开源框架，主要用于处理和分析大规模数据集。

Apache Hive 和 Apache Spark 的 CookieSigner 逻辑存在安全漏洞，当签名验证失败时，系统错误地将正确的签名值暴露给用户，导致攻击者可以通过构造错误的 Cookie 请求触发签名验证失败并获取有效签名，成功利用该漏洞可能允许攻击者伪造合法的 Cookie，从而绕过认证机制，导致未授权访问，并可能进一步引发会话劫持、权限提升等攻击。

3. 影响版本

1.2.0 <= Apache Hive < 4.0.0

2.0.0 <= Apache Spark < 3.0.0

3.0.0 <= Apache Spark < 3.3.4

3.4.0 <= Apache Spark < 3.4.2

Apache Spark 3.5.0

* org.apache.hive:hive-service

* org.apache.spark:spark-hive-thriftserver_2.11

* org.apache.spark:spark-hive-thriftserver_2.12

4. 处置建议

1. 目前该漏洞已经修复，受影响用户可升级到以下版本：

Apache Hive >= 4.0.0

Apache Spark 2.x 系列 >= 3.0.0

Apache Spark 3.0.0 系列 >= 3.3.4

Apache Spark 3.4.0 系列 >= 3.4.2

Apache Spark 3.5.0 >= 3.5.1

下载链接：https://github.com/apache/spark/tagshttps://hive.apache.org/general/downloads/。

预警通告来源：赛尔网络安全运营中心平台

联系人：梁宇

邮箱：liangyu@cernet.com

电话：15848147651

联系人：安宇彬

邮箱：anyb@cernet.com

电话：18698430210