1. 首页>
  2. 资讯中心

【安全通告】Apache Kylin命令【安全通告】Apache Kylin命令注入漏洞风险通告(CVE-2020-13925)入漏洞风险通告(CVE-2020-13925)

腾讯云 2020年07月15日 浏览1149

    新闻 资讯 腾讯云代理 腾讯云直播申请 游戏上云

摘要:

尊敬的腾讯云用户,您好!

近日,腾讯云安全运营中心监测到 开源分布式分析引擎Apache Kylin被爆存在命令注入漏洞(CVE-2020-13925),由于没有对用户输入内容做合理校验,导致可被利用执行任何系统命令  

为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞详情

Apache Kylin 是一个开源的分布式分析引擎,提供 Hadoop/Spark 之上的 SQL 查询接口及多维分析(OLAP)能力以支持超大规模数据,它能在亚秒内查询巨大的 Hive 表。

Kylin有一个restful API,它可将API输入连接到操作系统命令,然后在服务器上执行它们,此次的漏洞由于API错过了必要的输入验证,使得黑客有可能远程执行OS命令。

风险等级

高风险

漏洞风险

远程命令执行

影响版本

Apache Kylin 2.3.0~2.3.2

Apache Kylin 2.4.0~2.4.1

Apache Kylin 2.5.0~2.5.2

Apache Kylin 2.6.0~2.6.6

Apache Kylin 3.0.0-alpha, 3.0.0-alpha2,3.0.0-beta, 3.0.0, 3.0.1 3.0.2

修复版本

Apache Kylin 3.1.0

修复建议

官方已发布新版本修复该漏洞,腾讯云安全建议您:

1)检查当前版本是否在受影响范围;

2)如受影响,升级到 3.1.0 或更新版本以规避此风险。


【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外


漏洞参考

1)官方更新通告:https://www.mail-archive.com/dev@kylin.apache.org/msg11880.html


相关文章

腾讯云服务器

为企业提供:云服务器/视频/游戏/微信开发/软件/网站/APP…云解决方案

  • QQ群咨询:377986805 咨询电话:15818558013
  • 技术支持:0755-33940501-808 17603077568
  • 产品咨询:0755-33940501-803 15818558013