1. 首页>
  2. 资讯中心

【安全通告】Apache Kylin命令注入漏洞风险通告(CVE-2020-1956)

腾讯云 2020年05月21日 浏览202

    新闻 资讯 腾讯云代理 腾讯云直播申请 游戏上云

摘要:

尊敬的腾讯云用户,您好!

近日,腾讯云安全运营中心监测到开源分布式分析引擎Apache Kylin被爆存在命令注入漏洞(CVE-2020-1956),由于没有对用户输入内容做合理校验,导致可被利用执行任何系统命令

为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞详情

Apache Kylin是一个开源的分布式分析引擎,旨在提供SQL接口以及对支持超大型数据集的Hadoop和Alluxio的多维分析。

在 Kylin 多个版本中,由于有一些 Restful api 可以将操作系统命令与用户输入字符串连接起来,导致用户可以执行任何系统命令而无需任何验证。

风险等级

高风险

漏洞风险

通过命令注入攻击,在服务器上执行任意命令

影响版本

Apache Kylin 2.3.0 ~ 2.3.2

Apache Kylin 2.4.0 ~ 2.4.1

Apache Kylin 2.5.0 ~ 2.5.2

Apache Kylin 2.6.0 ~ 2.6.5

Apache Kylin 3.0.0-alpha, Apache Kylin 3.0.0-alpha2, Apache Kylin 3.0.0-beta, Apache Kylin 3.0.0, Kylin 3.0.1

修复版本

Apache Kylin 3.0.2 或 2.6.6

修复建议

官方已发布新版本修复该漏洞,腾讯云安全建议您:

1)推荐方案:升级到3.0.2或2.6.6或更新版本

2)缓解方案:设置 kylin.tool.auto-migrate-cube.enabled 为 false 以禁用命令执行


漏洞参考

1)官方更新通告:https://www.mail-archive.com/dev@kylin.apache.org/msg11687.html


相关文章

腾讯云服务器

为企业提供:云服务器/视频/游戏/微信开发/软件/网站/APP…云解决方案

  • QQ群咨询:377986805 咨询电话:15818558013
  • 技术支持:0755-33940501-808 17603077568
  • 产品咨询:0755-33940501-803 15818558013