【安全通告】Apache Kylin命令注入漏洞风险通告(CVE-2020-1956)
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,开源分布式分析引擎Apache Kylin被爆存在命令注入漏洞(CVE-2020-1956),由于没有对用户输入内容做合理校验,导致可被利用执行任何系统命令。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Apache Kylin是一个开源的分布式分析引擎,旨在提供SQL接口以及对支持超大型数据集的Hadoop和Alluxio的多维分析。
在 Kylin 多个版本中,由于有一些 Restful api 可以将操作系统命令与用户输入字符串连接起来,导致用户可以执行任何系统命令而无需任何验证。
风险等级
高风险
漏洞风险
通过命令注入攻击,在服务器上执行任意命令
影响版本
Apache Kylin 2.3.0 ~ 2.3.2
Apache Kylin 2.4.0 ~ 2.4.1
Apache Kylin 2.5.0 ~ 2.5.2
Apache Kylin 2.6.0 ~ 2.6.5
Apache Kylin 3.0.0-alpha, Apache Kylin 3.0.0-alpha2, Apache Kylin 3.0.0-beta, Apache Kylin 3.0.0, Kylin 3.0.1
修复版本
Apache Kylin 3.0.2 或 2.6.6
修复建议
官方已发布新版本修复该漏洞,腾讯云安全建议您:
1)推荐方案:升级到3.0.2或2.6.6或更新版本
2)缓解方案:设置 kylin.tool.auto-migrate-cube.enabled 为 false 以禁用命令执行
漏洞参考
1)官方更新通告:https://www.mail-archive.com/dev@kylin.apache.org/msg11687.html