VApache Hadoop a rischio: una falla di memoria può mandare in crash i Big Data

Un aggiornamento di sicurezza è stato rilasciato dalla Apache Software Foundation per Apache Hadoop, elemento fondamentale nell’elaborazione dei big data per le aziende a livello globale. La vulnerabilità, identificata con il codice CVE-2025-27821, è stata rilevata nel client nativo HDFS e potrebbe causare crash di sistema o danneggiamento dei dati a causa di una gestione non appropriata della memoria, mettendo così i sistemi a rischio.

Secondo il bollettino di sicurezza, la falla consente una “vulnerabilità di scrittura fuori limite nel client nativo Apache Hadoop HDFS”. Sebbene la gravità sia classificata come “Moderata”, le vulnerabilità di sicurezza della memoria sono spesso precursori di problemi di stabilità (negazione del servizio) o, in scenari più complessi, di esecuzione imprevista di codice.

La vulnerabilità interessa una specifica gamma di software. Gli amministratori dovrebbero verificare le proprie distribuzioni per le versioni del client nativo HDFS (org.apache.hadoop:hadoop-hdfs-native-client):

La falla riguarda il parser URI all’interno del client nativo, un componente fondamentale responsabile dell’interpretazione degli indirizzi e dell’individuazione dei dati nei file system distribuiti.

Un errore di “Scrittura fuori limite” caratterizza la vulnerabilità, nella quale il software scrive informazioni oltre la fine del buffer designato. Specificamente, il problema sorge nel modo in cui gli Uniform Resource Identifier (URI) vengono analizzati dal client HDFS nativo.

La stabilità a livello applicativo è fondamentale. Un difetto lato client potrebbe compromettere l’elaborazione affidabile e distribuita da cui dipendono le organizzazioni. Il team di Apache ha cercato di colmare questa lacuna con il rilascio della versione 3.4.2 .

Viene raccomandato agli utenti che impiegano versioni vulnerabili del client nativo HDFS di effettuare l’aggiornamento alla versione 3.4.2. Questa versione risolve il problema assicurando che i loro data lake siano protetti da questo specifico difetto di memoria.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks