在 Apache Hive 和 Apache Spark 这两个广泛用于大规模数据处理和分析的系统中发现了一个新披露的漏洞 CVE-2024-23945,CVSS 得分为 8.7。该漏洞影响 CookieSigner 机制,在消息验证失败时会暴露有效的 cookie 签名,从而构成重大安全风险。这一疏忽有可能使恶意行为者进一步利用系统。该漏洞存在于 CookieSigner 组件中,这是一个旨在保护 cookie 完整性的安全功能。官方说明解释说:“Cookie 签名是一项应用程序安全功能,可为 cookie 数据添加数字签名,以验证其真实性和完整性。然而,在这种情况下,当当前 cookie 与预期 cookie 的签名不匹配时,Apache Hive 的服务组件会意外地将已签名 cookie 暴露给最终用户。”即使验证失败,这种意外暴露正确 cookie 签名的情况也会为攻击者提供有价值的信息,可用于伪造有效 cookie 和绕过安全措施。该漏洞影响多种 Apache Hive 和 Spark 版本:Apache Hive: 4.0.0 之前的 1.2.0Apache Spark:3.0.0 之前的 2.0.0、3.3.4 之前的 3.0.0、3.4.2 之前的 3.4.0 和 3.5.0。易受攻击的组件包括 org.apache.hive:hive-service、org.apache.spark:spark-hive-thriftserver_2.11 和 org.apache.spark:spark-hive-thriftserver_2.12,它们广泛应用于大数据处理和分析。我们敦促依赖 Apache Hive 或 Spark 的组织立即将其系统更新到最新的补丁版本。否则可能会导致严重的安全漏洞。
