【風(fēng)險(xiǎn)通告】Apache Kylin 遠(yuǎn)程命令執(zhí)行漏洞
2020-05-29 00:00:00
近日���,金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到Apache Kylin官方發(fā)布安全公告�����,披露了一個(gè)Apache Kylin遠(yuǎn)程代碼執(zhí)行漏洞����。
該漏洞利用難度簡(jiǎn)單�,風(fēng)險(xiǎn)等級(jí)高,建議使用了Kylin的用戶下載最新版本�,避免損失。
漏洞名稱
Apache Kylin 遠(yuǎn)程代碼執(zhí)行漏洞
漏洞編號(hào)
CVE-2020-1956
風(fēng)險(xiǎn)等級(jí)
高危
漏洞描述
2020年5月28日�,Apache Kylin官方發(fā)布安全公告,披露了一個(gè)Apache Kylin遠(yuǎn)程代碼執(zhí)行漏洞。Kylin有一些restful API�,可以將os命令與用戶輸入字符串連接起來(lái),攻擊者可以在Kylin沒(méi)有任何保護(hù)或驗(yàn)證的情況下執(zhí)行任何os命令���。
Apache Kylin是一個(gè)開(kāi)源的�����、分布式的分析型數(shù)據(jù)倉(cāng)庫(kù),提供 Hadoop 之上的 SQL 查詢接口及多維分析(OLAP)能力����,以支持超大規(guī)模數(shù)據(jù),最初由eBay Inc.開(kāi)發(fā)并貢獻(xiàn)至開(kāi)源社區(qū)����。
影響版本
目前受影響的Apache Kylin版本:
Kylin 2.3.0-2.3.2
Kylin 2.4.0-2.4.1
Kylin 2.5.0-2.5.2
Kylin 2.6.0-2.6.5
Kylin 3.0.0-alpha
Kylin 3.0.0-alpha2
Kylin 3.0.0-beta
Kylin 3.0.0-3.0.1
修復(fù)建議
1) 官方發(fā)布的最新版本已經(jīng)修復(fù)了此漏洞,請(qǐng)受影響的用戶下載最新版本�����。
下載鏈接:http://kylin.apache.org/cn/download/
2) 若相關(guān)用戶暫時(shí)無(wú)法進(jìn)行升級(jí)操作����,可采用以下措施進(jìn)行臨時(shí)緩解:
將kylin.tool.auto-migrate-cube.enabled 設(shè)置為 false,禁用系統(tǒng)命令執(zhí)行�。
參考鏈接
[1].https://kylin.apache.org/docs/security.html
[2].https://github.com/apache/kylin/commit/9cc3793ab2f2f0053c467a9b3f38cb7791cd436a#
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2020/05/29