VApache Hadoop a rischio: una falla di memoria può mandare in crash i Big Data
Un aggiornamento di sicurezza è stato rilasciato dalla Apache Software Foundation per Apache Hadoop, elemento fondamentale nell’elaborazione dei big data per le aziende a livello globale. La vulnerabilità, identificata con il codice CVE-2025-27821, è stata rilevata nel client nativo HDFS e potrebbe causare crash di sistema o danneggiamento dei dati a causa di una gestione non appropriata della memoria, mettendo così i sistemi a rischio.
Secondo il bollettino di sicurezza, la falla consente una “vulnerabilità di scrittura fuori limite nel client nativo Apache Hadoop HDFS”. Sebbene la gravità sia classificata come “Moderata”, le vulnerabilità di sicurezza della memoria sono spesso precursori di problemi di stabilità (negazione del servizio) o, in scenari più complessi, di esecuzione imprevista di codice.
La vulnerabilità interessa una specifica gamma di software. Gli amministratori dovrebbero verificare le proprie distribuzioni per le versioni del client nativo HDFS (org.apache.hadoop:hadoop-hdfs-native-client):
La falla riguarda il parser URI all’interno del client nativo, un componente fondamentale responsabile dell’interpretazione degli indirizzi e dell’individuazione dei dati nei file system distribuiti.
Un errore di “Scrittura fuori limite” caratterizza la vulnerabilità, nella quale il software scrive informazioni oltre la fine del buffer designato. Specificamente, il problema sorge nel modo in cui gli Uniform Resource Identifier (URI) vengono analizzati dal client HDFS nativo.
La stabilità a livello applicativo è fondamentale. Un difetto lato client potrebbe compromettere l’elaborazione affidabile e distribuita da cui dipendono le organizzazioni. Il team di Apache ha cercato di colmare questa lacuna con il rilascio della versione 3.4.2 .
Viene raccomandato agli utenti che impiegano versioni vulnerabili del client nativo HDFS di effettuare l’aggiornamento alla versione 3.4.2. Questa versione risolve il problema assicurando che i loro data lake siano protetti da questo specifico difetto di memoria.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.
Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research
