【漏洞通告】Apache Kylin 远程命令执行漏洞(CVE-2020-1956)

【漏洞通告】Apache Kylin 远程命令执行漏洞(CVE-2020-1956)

原创 威胁对抗能力部 [绿盟科技安全情报](javascript:void(0)😉 昨天

通告编号:NS-2020-0035

2020-05-29

TA****G:Apache Kylin、命令执行、CVE-2020-1956
漏****洞危害:攻击者利用此漏洞,可实现远程命令执行,PoC已公开。
版本:1.0

1

漏洞概述

近日,Apache官方发布安全公告,修复了一个Apache Kylin的远程命令执行漏洞(CVE-2020-1956)。在Kylin中存在一些restful API,可以将操作系统命令与用户输入的字符串连接起来,由于未对用户输入内容做合理校验,导致攻击者可以在未经验证的情况下执行任意系统命令。目前漏洞PoC已公开,请相关用户及时采取措施进行防护。

Apache Kylin是Apache软件基金会的一款开源的、分布式的分析型数据仓库,主要提供Hadoop/Spark之上的SQL查询接口及多维分析(OLAP)能力,以支持超大规模数据。

参考链接:

https://www.mail-archive.com/dev@kylin.apache.org/msg11687.html

SEE MORE →

2影响范围

受影响版本

  • Kylin 2.3.0 - 2.3.2
  • Kylin 2.4.0 - 2.4.1
  • Kylin 2.5.0 - 2.5.2
  • Kylin 2.6.0 - 2.6.5
  • Kylin 3.0.0-alpha
  • Kylin 3.0.0-alpha2
  • Kylin 3.0.0-beta
  • Kylin 3.0.0 - 3.0.1

不受影响版本

  • Kylin = 2.6.6
  • Kylin = 3.0.2

3漏洞防护

3.1 官方升级

目前官方已在最新版本2.6.6与3.0.2中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:http://kylin.apache.org/cn/download/

3.2 其他防护措施

若相关用户暂时无法进行升级操作,可采用以下措施进行临时缓解:

将kylin.tool.auto-migrate-cube.enabled 设置为 false,禁用系统命令执行。

转载自https://mp.weixin.qq.com/s/b93y4vmJn3i8ubdK99HxYw

admin-root 系统安全 web安全 安全架构
每个人都可以成为黑客,也许他就在你身边,也许...那就是未来的你
┃  ┏┃┃┃┏┛
┃  ━┛━┛┏┛  
━┛ ❤️  ━┛
本人小菜鸟一枚,公众号里有粉丝群和我的联系方式,有问题我会尽力解答的