【安全通告】Apache Kylin未授权配置泄露漏洞(CVE-2020-13937)
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,Apache Kylin官方近日披露了 API中存在的一处未授权配置泄露漏洞(CVE-2020-13937),攻击者可利用该漏洞获取系统敏感信息。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Apache Kylin是一个开源的分布式分析引擎,它最初由eBay开发,现在是Apache Software Foundation的项目。Apache Kylin建立在Apache Hadoop,Apache Hive,Apache HBase,Apache Parquet,Apache Calcite,Apache Spark和其他技术之上。这些技术使Kylin可以轻松扩展以支持海量数据负载。
Kylin的一个Restful API会没有认证的情况下泄露配置信息,攻击者可利用该漏洞获取系统敏感信息加以利用。截止目前,该漏洞的PoC暂未公开
风险等级
高风险
漏洞风险
敏感配置泄露
影响版本
Apache Kylin 2.0.0, 2.1.0, 2.2.0, 2.3.0, 2.3.1, 2.3.2, 2.4.0, 2.4.1, 2.5.0, 2.5.1, 2.5.2, 2.6.0, 2.6.1, 2.6.2, 2.6.3, 2.6.4, 2.6.5, 2.6.6, 3.0.0-alpha, 3.0.0-alpha2, 3.0.0-beta, 3.0.0, 3.0.1, 3.0.2, 3.1.0, 4.0.0-alpha
修复补丁
Apache Kylin 3.1.1
修复建议
官方已发布漏洞修复更新,腾讯云安全建议您:
1)升级方案:升级到 Apache Kylin 3.1.1 版本
2)临时方案:编辑 "$KYLIN_HOME/WEB-INF/classes/kylinSecurity.xml" 文件,移除下列行,重启服务生效。
<scr:intercept-url pattern="/api/admin/config" access="permitAll"/>
【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外
产品解决方案:
1.腾讯 T-Sec漏洞扫描服务(Vulnerability Scan Service,VSS)漏洞特征库日期2020-10-20之后的版本,已支持检测全网资产是否存在Apache Kylin未授权配置泄露漏洞。
2.腾讯 T-Sec主机安全(云镜)漏洞库日期2020-10-20之后的版本,已支持对Apache Kylin未授权配置泄露漏洞进行检测。
3.腾讯 T-Sec云防火墙 规则库日期2020-10-20之后的版本,已支持对Apache Kylin未授权配置泄露漏洞的检测和拦截。
4.腾讯 T-Sec高级威胁检测系统(御界)规则库日期2020-10-20之后的版本,已支持对Apache Kylin未授权配置泄露漏洞的攻击检测。
漏洞参考
1)官方通告:https://www.mail-archive.com/dev@kylin.apache.org/msg12170.html