【安全通告】Apache Kylin命令【安全通告】Apache Kylin命令注入漏洞风险通告(CVE-2020-13925)入漏洞风险通告(CVE-2020-13925)
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到, 开源分布式分析引擎Apache Kylin被爆存在命令注入漏洞(CVE-2020-13925),由于没有对用户输入内容做合理校验,导致可被利用执行任何系统命令 。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Apache Kylin 是一个开源的分布式分析引擎,提供 Hadoop/Spark 之上的 SQL 查询接口及多维分析(OLAP)能力以支持超大规模数据,它能在亚秒内查询巨大的 Hive 表。
Kylin有一个restful API,它可将API输入连接到操作系统命令,然后在服务器上执行它们,此次的漏洞由于API错过了必要的输入验证,使得黑客有可能远程执行OS命令。
风险等级
高风险
漏洞风险
远程命令执行
影响版本
Apache Kylin 2.3.0~2.3.2
Apache Kylin 2.4.0~2.4.1
Apache Kylin 2.5.0~2.5.2
Apache Kylin 2.6.0~2.6.6
Apache Kylin 3.0.0-alpha, 3.0.0-alpha2,3.0.0-beta, 3.0.0, 3.0.1 3.0.2
修复版本
Apache Kylin 3.1.0
修复建议
官方已发布新版本修复该漏洞,腾讯云安全建议您:
1)检查当前版本是否在受影响范围;
2)如受影响,升级到 3.1.0 或更新版本以规避此风险。
【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外
漏洞参考
1)官方更新通告:https://www.mail-archive.com/dev@kylin.apache.org/msg11880.html