漏洞描述

    Apache Hadoop YARN （Yet Another Resource Negotiator，另一种资源协调者）是一种新的 Hadoop 资源管理器，它是一个通用资源管理系统和调度平台。

    2022年8月25日，Apache发布安全公告，修复了一个存在于Apache Hadoop YARN中的反序列化漏洞。漏洞编号：CVE-2021-25642，漏洞威胁等级：高危。

    Apache Hadoop YARN的CapacityScheduler可选地使用ZKConfigurationStore，它可在无需验证的情况下从ZooKeeper中获取的数据反序列化。能够访问ZooKeeper的攻击者可以利用该漏洞以YARN用户的身份运行任意命令。

    修复建议

    厂商已发布补丁修复漏洞，用户请尽快更新至安全版本：

    如果使用 ZKConfigurationStore，用户应升级到Apache Hadoop 2.10.2、3.2.4、3.3.4 或更高版本（包含 YARN-11126）。

（转载自360漏洞云情报平台）