Cảnh báo lỗ hổng bảo mật CVE-2024-23945 trong Apache Hive và Apache Spark

Chi tiết kỹ thuật:

Cơ chế CookieSigner được thiết kế để bảo vệ tính toàn vẹn của cookie thông qua việc thêm chữ ký số vào dữ liệu cookie. Tuy nhiên, trong trường hợp này, lỗi phát sinh do Apache Hive và Apache Spark vô tình tiết lộ chữ ký cookie hợp lệ khi xảy ra lỗi xác minh chữ ký.

Cụ thể, khi chữ ký giữa cookie hiện tại và cookie mong đợi không khớp, hệ thống lại trả về chữ ký hợp lệ cho người dùng. Hành vi này vô tình cung cấp thông tin quan trọng giúp kẻ tấn công có thể giả mạo cookie hợp lệ, vượt qua các cơ chế bảo mật khác và có quyền truy cập trái phép vào hệ thống.

Phạm vi ảnh hưởng:

Các phiên bản bị ảnh hưởng bao gồm:

Apache Hive: Tất cả các phiên bản từ 1.2.0 đến trước 4.0.0.
Apache Spark:
Từ 2.0.0 đến trước 3.0.0.
Từ 3.0.0 đến trước 3.3.4.
Từ 3.4.0 đến trước 3.4.2.
Phiên bản 3.5.0.

Các thành phần dễ bị khai thác:

org.apache.hive:hive-service.
org.apache.spark:spark-hive-thriftserver_2.11.
org.apache.spark:spark-hive-thriftserver_2.12.
Những thành phần này thường được sử dụng rộng rãi trong các hệ thống xử lý dữ liệu lớn, nên mức độ rủi ro là rất cao.

Khuyến nghị:

Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của đơn vị, góp phần đảm bảo an toàn cho không gian mạng Việt Nam, Trung tâm VNCERT/CC khuyến nghị các tổ chức và cá nhân sử dụng Apache Hive hoặc Spark cần thực hiện cập nhật hệ thống ngay lập tức để giảm thiểu nguy cơ bị tấn công. Cụ thể:

Đối với Apache Hive: Nâng cấp lên phiên bản 4.0.0 hoặc mới hơn.
Đối với Apache Spark: Các phiên bản từ 3.0.0 trở lên: Nâng cấp lên phiên bản 3.3.4, 3.4.2, hoặc phiên bản mới hơn.