【漏洞通告】Apache Kylin 遠程命令執行漏洞(CVE-2020-1956)
原創 威脅對抗能力部 [綠盟科技安全情報](javascript:void(0)😉 昨天
通告編號:NS-2020-0035
2020-05-29
| TA****G: | Apache Kylin、命令執行、CVE-2020-1956 |
|---|---|
| 漏****洞危害: | 攻擊者利用此漏洞,可實現遠程命令執行,PoC已公開。 |
| 版本: | 1.0 |
1
漏洞概述
近日,Apache官方發佈安全公告,修復了一個Apache Kylin的遠程命令執行漏洞(CVE-2020-1956)。在Kylin中存在一些restful API,可以將操作系統命令與用戶輸入的字符串連接起來,由於未對用戶輸入內容做合理校驗,導致攻擊者可以在未經驗證的情況下執行任意系統命令。目前漏洞PoC已公開,請相關用戶及時採取措施進行防護。
Apache Kylin是Apache軟件基金會的一款開源的、分佈式的分析型數據倉庫,主要提供Hadoop/Spark之上的SQL查詢接口及多維分析(OLAP)能力,以支持超大規模數據。
參考鏈接:
https://www.mail-archive.com/[email protected]/msg11687.html
SEE MORE →
2影響範圍
受影響版本
- Kylin 2.3.0 - 2.3.2
- Kylin 2.4.0 - 2.4.1
- Kylin 2.5.0 - 2.5.2
- Kylin 2.6.0 - 2.6.5
- Kylin 3.0.0-alpha
- Kylin 3.0.0-alpha2
- Kylin 3.0.0-beta
- Kylin 3.0.0 - 3.0.1
不受影響版本
- Kylin = 2.6.6
- Kylin = 3.0.2
3漏洞防護
3.1 官方升級
目前官方已在最新版本2.6.6與3.0.2中修復了該漏洞,請受影響的用戶儘快升級版本進行防護,官方下載鏈接:http://kylin.apache.org/cn/download/
3.2 其他防護措施
若相關用戶暫時無法進行升級操作,可採用以下措施進行臨時緩解:
將kylin.tool.auto-migrate-cube.enabled 設置爲 false,禁用系統命令執行。
轉載自https://mp.weixin.qq.com/s/b93y4vmJn3i8ubdK99HxYw