【風險通告】Apache Kylin 遠程命令執(zhí)行漏洞
2020-05-29 00:00:00
近日�,金山云安全應急響應中心監(jiān)測到Apache Kylin官方發(fā)布安全公告,披露了一個Apache Kylin遠程代碼執(zhí)行漏洞�����。
該漏洞利用難度簡單���,風險等級高,建議使用了Kylin的用戶下載最新版本���,避免損失���。
漏洞名稱
Apache Kylin 遠程代碼執(zhí)行漏洞
漏洞編號
CVE-2020-1956
風險等級
高危
漏洞描述
2020年5月28日��,Apache Kylin官方發(fā)布安全公告��,披露了一個Apache Kylin遠程代碼執(zhí)行漏洞�。Kylin有一些restful API��,可以將os命令與用戶輸入字符串連接起來�,攻擊者可以在Kylin沒有任何保護或驗證的情況下執(zhí)行任何os命令。
Apache Kylin是一個開源的�、分布式的分析型數(shù)據(jù)倉庫,提供 Hadoop 之上的 SQL 查詢接口及多維分析(OLAP)能力�����,以支持超大規(guī)模數(shù)據(jù)��,最初由eBay Inc.開發(fā)并貢獻至開源社區(qū)����。
影響版本
目前受影響的Apache Kylin版本:
Kylin 2.3.0-2.3.2
Kylin 2.4.0-2.4.1
Kylin 2.5.0-2.5.2
Kylin 2.6.0-2.6.5
Kylin 3.0.0-alpha
Kylin 3.0.0-alpha2
Kylin 3.0.0-beta
Kylin 3.0.0-3.0.1
修復建議
1) 官方發(fā)布的最新版本已經(jīng)修復了此漏洞,請受影響的用戶下載最新版本���。
下載鏈接:http://kylin.apache.org/cn/download/
2) 若相關用戶暫時無法進行升級操作��,可采用以下措施進行臨時緩解:
將kylin.tool.auto-migrate-cube.enabled 設置為 false�,禁用系統(tǒng)命令執(zhí)行。
參考鏈接
[1].https://kylin.apache.org/docs/security.html
[2].https://github.com/apache/kylin/commit/9cc3793ab2f2f0053c467a9b3f38cb7791cd436a#
北京金山云網(wǎng)絡技術有限公司
2020/05/29