Apache Hadoop 权限提升漏洞通告 （CVE-2021-33036）

■ 漏洞背景

Hadoop是一个由Apache基金会所开发的分布式系统基础架构，它实现了Map/Reduce编程范型，计算任务会被分割成多个小块运行在不同的节点上。近日，新华三攻防实验室威胁预警团队监测到Apache官方发布了安全公告，修复了Hadoop中的一个权限提升漏洞(CVE-2021-33036)，恶意攻击者可以利用该漏洞将自身权限提升至root权限，从而在Hadoop服务器上执行任意代码。

■ 漏洞详情

该漏洞是由于Hadoop未对用户的身份进行合理限制，恶意攻击者可以通过发送特殊数据升级为yarn用户，从而导致恶意攻击者可以使用yarn用户身份实现以root身份管理系统，继而在服务器上运行任意命令。

■ 影响范围

2.2.0 <= Hadoop <= 2.10.1

3.0.0-alpha1 <= Hadoop <=3.1.4

3.2.0 <= Hadoop <= 3.2.2

3.3.0 <= Hadoop <= 3.3.1

漏洞等级：高危

■ 官方补丁

目前官方已修复该漏洞，受影响用户可以升级更新到Apache Hadoop 2.10.2、3.2.3、3.3.2 或更高版本，官方链接：https://hadoop.apache.org/releases.html

■ 临时缓解措施

若暂时无法升级至安全版本，在用户可以升级为yarn用户但不能升级为root用户的情况下，可以通过删除其升级为 yarn 用户的权限来缓解此漏洞。

 参考链接 

https://lists.apache.org/thread/ctr84rmo3xd2tzqcx2b277c8z692vhl5

https://hadoop.apache.org/cve_list.html