关键信息 漏洞标识 CVE编号: CVE-2025-55039 影响版本 Apache Spark (org.apache.spark:spark-network-common_2.13) 3.5.0 before 3.5.2 Apache Spark (org.apache.spark:spark-network-common_2.13) before 3.4.4 Apache Spark (org.apache.spark:spark-network-common_2.12) 3.5.0 before 3.5.2 Apache Spark (org.apache.spark:spark-network-common_2.12) before 3.4.4 描述 Apache Spark 版本在 4.0.0、3.5.2 和 3.4.4 之前使用了不安全的默认网络加密密码,用于节点之间的 RPC 通信。当 设置为 true(默认为 false),但 未明确配置时,默认使用 AES 在 CTR 模式(AES/CTR/NoPadding)进行加密,这提供了无认证的加密。 此漏洞允许中间人攻击者修改加密的 RPC 流量而不被检测到,通过翻转密文中的位,可能危及心跳消息或应用程序数据,并影响 Spark 工作流的完整性。 缓解措施 配置 为 AES/GCM/NoPadding 以启用带认证的加密。 或者,通过将 设置为 true 来启用 SSL 加密,提供更强的传输安全性。 参考链接 https://spark.apache.org/ https://www.cve.org/CVERecord?id=CVE-2025-55039