尊敬的腾讯云用户，您好！

近日，腾讯云安全运营中心监测到，开源分布式分析引擎Apache Kylin被爆存在命令注入漏洞（CVE-2020-1956），由于没有对用户输入内容做合理校验，导致可被利用执行任何系统命令。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

Apache Kylin是一个开源的分布式分析引擎，旨在提供SQL接口以及对支持超大型数据集的Hadoop和Alluxio的多维分析。

在 Kylin 多个版本中，由于有一些 Restful api 可以将操作系统命令与用户输入字符串连接起来，导致用户可以执行任何系统命令而无需任何验证。

风险等级

高风险

漏洞风险

通过命令注入攻击，在服务器上执行任意命令

影响版本

Apache Kylin 2.3.0 ~ 2.3.2

Apache Kylin 2.4.0 ~ 2.4.1

Apache Kylin 2.5.0 ~ 2.5.2

Apache Kylin 2.6.0 ~ 2.6.5

Apache Kylin 3.0.0-alpha, Apache Kylin 3.0.0-alpha2, Apache Kylin 3.0.0-beta, Apache Kylin 3.0.0, Kylin 3.0.1

修复版本

Apache Kylin 3.0.2 或 2.6.6

修复建议

官方已发布新版本修复该漏洞，腾讯云安全建议您：

1）推荐方案：升级到3.0.2或2.6.6或更新版本

2）缓解方案：设置 kylin.tool.auto-migrate-cube.enabled 为 false 以禁用命令执行

漏洞参考

1）官方更新通告：https://www.mail-archive.com/dev@kylin.apache.org/msg11687.html