【風險通告】Apache Kylin 遠程命令執(zhí)行漏洞
2020-05-29 00:00:00
近日�����,金山云安全應急響應中心監(jiān)測到Apache Kylin官方發(fā)布安全公告�,披露了一個Apache Kylin遠程代碼執(zhí)行漏洞。
該漏洞利用難度簡單��,風險等級高�,建議使用了Kylin的用戶下載最新版本,避免損失�。
漏洞名稱
Apache Kylin 遠程代碼執(zhí)行漏洞
漏洞編號
CVE-2020-1956
風險等級
高危
漏洞描述
2020年5月28日����,Apache Kylin官方發(fā)布安全公告��,披露了一個Apache Kylin遠程代碼執(zhí)行漏洞���。Kylin有一些restful API��,可以將os命令與用戶輸入字符串連接起來�,攻擊者可以在Kylin沒有任何保護或驗證的情況下執(zhí)行任何os命令���。
Apache Kylin是一個開源的����、分布式的分析型數據倉庫�,提供 Hadoop 之上的 SQL 查詢接口及多維分析(OLAP)能力,以支持超大規(guī)模數據���,最初由eBay Inc.開發(fā)并貢獻至開源社區(qū)���。
影響版本
目前受影響的Apache Kylin版本:
Kylin 2.3.0-2.3.2
Kylin 2.4.0-2.4.1
Kylin 2.5.0-2.5.2
Kylin 2.6.0-2.6.5
Kylin 3.0.0-alpha
Kylin 3.0.0-alpha2
Kylin 3.0.0-beta
Kylin 3.0.0-3.0.1
修復建議
1) 官方發(fā)布的最新版本已經修復了此漏洞,請受影響的用戶下載最新版本。
下載鏈接:http://kylin.apache.org/cn/download/
2) 若相關用戶暫時無法進行升級操作���,可采用以下措施進行臨時緩解:
將kylin.tool.auto-migrate-cube.enabled 設置為 false���,禁用系統命令執(zhí)行。
參考鏈接
[1].https://kylin.apache.org/docs/security.html
[2].https://github.com/apache/kylin/commit/9cc3793ab2f2f0053c467a9b3f38cb7791cd436a#
北京金山云網絡技術有限公司
2020/05/29