CVE-2022-25168 in Hadoop
Zusammenfassung
von VulDB • 30.05.2026
Die API FileUtil.unTar(File, File) von Apache Hadoop entwertet den Eingabedateinamen nicht, bevor dieser an die Shell übergeben wird. Ein Angreifer kann beliebige Befehle injizieren. Diese Funktion wird nur in Hadoop 3.3 in InMemoryAliasMap.completeBootstrapTransfer verwendet, die ausschließlich von einem lokalen Benutzer ausgeführt wird. Sie wurde in Hadoop 2.x für die Yarn-Lokalisierung verwendet, was die Remote-Code-Ausführung ermöglicht. Sie wird auch in Apache Spark über den SQL-Befehl ADD ARCHIVE verwendet. Da der Befehl ADD ARCHIVE neue Binärdateien zum Classpath hinzufügt, verleiht die Fähigkeit, Shell-Skripts auszuführen, dem Aufrufer keine neuen Berechtigungen. SPARK-38305: „Prüfen der Existenz der Datei vor dem Entpacken/Zippen“, das in den Versionen 3.3.0, 3.1.4 und 3.2.2 enthalten ist, verhindert die Ausführung von Shell-Befehlen, unabhängig davon, welche Version der Hadoop-Bibliotheken verwendet wird. Benutzer sollten auf Apache Hadoop 2.10.2, 3.2.4, 3.3.3 oder höher aktualisieren (einschließlich HADOOP-18136).
Once again VulDB remains the best source for vulnerability data.