尊敬的腾讯云用户，您好！

近日，腾讯云安全运营中心监测到，Apache Kylin官方近日披露了 API中存在的一处未授权配置泄露漏洞（CVE-2020-13937），攻击者可利用该漏洞获取系统敏感信息。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

Apache Kylin是一个开源的分布式分析引擎，它最初由eBay开发，现在是Apache Software Foundation的项目。Apache Kylin建立在Apache Hadoop，Apache Hive，Apache HBase，Apache Parquet，Apache Calcite，Apache Spark和其他技术之上。这些技术使Kylin可以轻松扩展以支持海量数据负载。

Kylin的一个Restful API会没有认证的情况下泄露配置信息，攻击者可利用该漏洞获取系统敏感信息加以利用。截止目前，该漏洞的PoC暂未公开

风险等级

高风险

漏洞风险

敏感配置泄露

影响版本

Apache Kylin 2.0.0, 2.1.0, 2.2.0, 2.3.0, 2.3.1, 2.3.2, 2.4.0, 2.4.1, 2.5.0, 2.5.1, 2.5.2, 2.6.0, 2.6.1, 2.6.2, 2.6.3, 2.6.4, 2.6.5, 2.6.6, 3.0.0-alpha, 3.0.0-alpha2, 3.0.0-beta, 3.0.0, 3.0.1, 3.0.2, 3.1.0, 4.0.0-alpha

修复补丁

Apache Kylin 3.1.1

修复建议

官方已发布漏洞修复更新，腾讯云安全建议您：

1）升级方案：升级到 Apache Kylin 3.1.1 版本

2）临时方案：编辑 "$KYLIN_HOME/WEB-INF/classes/kylinSecurity.xml" 文件，移除下列行，重启服务生效。

<scr:intercept-url pattern="/api/admin/config" access="permitAll"/>

【备注】：建议您在安装补丁前做好数据备份工作，避免出现意外

产品解决方案：

1.腾讯 T-Sec漏洞扫描服务（Vulnerability Scan Service，VSS）漏洞特征库日期2020-10-20之后的版本，已支持检测全网资产是否存在Apache Kylin未授权配置泄露漏洞。

2.腾讯 T-Sec主机安全（云镜）漏洞库日期2020-10-20之后的版本，已支持对Apache Kylin未授权配置泄露漏洞进行检测。

3.腾讯 T-Sec云防火墙 规则库日期2020-10-20之后的版本，已支持对Apache Kylin未授权配置泄露漏洞的检测和拦截。

4.腾讯 T-Sec高级威胁检测系统（御界）规则库日期2020-10-20之后的版本，已支持对Apache Kylin未授权配置泄露漏洞的攻击检测。

漏洞参考

1）官方通告：https://www.mail-archive.com/dev@kylin.apache.org/msg12170.html