近日，我司监测到Apache发布安全公告，修复了一个存在于Apache Hadoop YARN中的反序列化漏洞。Apache Hadoop YARN的CapacityScheduler可选地使用ZKConfigurationStore，它可在无需验证的情况下反序列化从ZooKeeper中获取的数据。能够访问ZooKeeper的攻击者可以利用该漏洞以YARN用户的身份运行任意命令。

Apache Hadoop YARN （Yet Another Resource Negotiator，另一种资源协调者）是一种新的 Hadoop 资源管理器，它是一个通用资源管理系统和调度平台。

影响版本:

• 2.9.0 <= Apache Hadoop <= 2.10.1
• 3.0.0-alpha <= Apache Hadoop <= 3.2.3
• 3.3.0 <= Apache Hadoop <= 3.3.3

安全版本:

• Apache Hadoop >= 2.10.2
• Apache Hadoop >= 3.2.4
• Apache Hadoop >= 3.3.4(包含 YARN-11126)

修复建议：

官方已发布补丁修复漏洞，请及时下载更新,下载地址:

https://hadoop.apache.org/releases.html