Se ha reportado una vulnerabilidad que afecta a Apache Hadoop, que permitiría a un atacante realizar ejecución remota de código (RCE).
La vulnerabilidad identificada como CVE-2021-25642, de severidad “alta”, sin una puntuación asignada aún. Esta vulnerabilidad se debe a una falla en ZKConfigurationStore. Esto permitiría a un atacante realizar ejecución remota de código (RCE).
Las versiones afectadas son:
- Apache Hadoop versiones 2.9.0 a 2.10.1.
- Apache Hadoop versiones 3.0.0-alfa a 3.2.3.
- Apache Hadoop versiones 3.3.0 a 3.3.3.
Recomendamos instalar las actualizaciones correspondientes provistas por Apache Hadoop en los siguientes enlaces:
Referencias:
- https://securityonline.info/cve-2021-25642-apache-hadoop-command-execution-vulnerability/
- https://nvd.nist.gov/vuln/detail/CVE-2021-25642
- https://www.apache.org/dyn/closer.cgi/hadoop/common/hadoop-2.10.2/hadoop-2.10.2-src.tar.gz
- https://www.apache.org/dyn/closer.lua/hadoop/common/hadoop-3.2.2/hadoop-3.2.2-src.tar.gz
- https://www.apache.org/dyn/closer.cgi/hadoop/common/hadoop-3.3.4/hadoop-3.3.4.tar.gz