1. 首页>
  2. 资讯中心

【安全通告】Apache Kylin未授权配置泄露漏洞(CVE-2020-13937)

腾讯云 2020年10月22日 浏览623

    新闻 资讯 腾讯云代理 腾讯云直播申请 游戏上云

摘要:

尊敬的腾讯云用户,您好!

近日,腾讯云安全运营中心监测到Apache Kylin官方近日披露了 API中存在的一处未授权配置泄露漏洞(CVE-2020-13937),攻击者可利用该漏洞获取系统敏感信息

为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞详情

Apache Kylin是一个开源的分布式分析引擎,它最初由eBay开发,现在是Apache Software Foundation的项目。Apache Kylin建立在Apache Hadoop,Apache Hive,Apache HBase,Apache Parquet,Apache Calcite,Apache Spark和其他技术之上。这些技术使Kylin可以轻松扩展以支持海量数据负载。

Kylin的一个Restful API会没有认证的情况下泄露配置信息,攻击者可利用该漏洞获取系统敏感信息加以利用。截止目前,该漏洞的PoC暂未公开

风险等级

高风险

漏洞风险

敏感配置泄露

影响版本

Apache Kylin 2.0.0, 2.1.0, 2.2.0, 2.3.0, 2.3.1, 2.3.2, 2.4.0, 2.4.1, 2.5.0, 2.5.1, 2.5.2, 2.6.0, 2.6.1, 2.6.2, 2.6.3, 2.6.4, 2.6.5, 2.6.6, 3.0.0-alpha, 3.0.0-alpha2, 3.0.0-beta, 3.0.0, 3.0.1, 3.0.2, 3.1.0, 4.0.0-alpha

修复补丁

Apache Kylin 3.1.1

修复建议

官方已发布漏洞修复更新,腾讯云安全建议您:

1)升级方案:升级到 Apache Kylin 3.1.1 版本

2)临时方案:编辑 "$KYLIN_HOME/WEB-INF/classes/kylinSecurity.xml" 文件,移除下列行,重启服务生效。

<scr:intercept-url pattern="/api/admin/config" access="permitAll"/>

【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外


产品解决方案:

1.腾讯 T-Sec漏洞扫描服务(Vulnerability Scan Service,VSS)漏洞特征库日期2020-10-20之后的版本,已支持检测全网资产是否存在Apache Kylin未授权配置泄露漏洞。

2.腾讯 T-Sec主机安全(云镜)漏洞库日期2020-10-20之后的版本,已支持对Apache Kylin未授权配置泄露漏洞进行检测。

3.腾讯 T-Sec云防火墙 规则库日期2020-10-20之后的版本,已支持对Apache Kylin未授权配置泄露漏洞的检测和拦截。

4.腾讯 T-Sec高级威胁检测系统(御界)规则库日期2020-10-20之后的版本,已支持对Apache Kylin未授权配置泄露漏洞的攻击检测。



漏洞参考

1)官方通告:https://www.mail-archive.com/dev@kylin.apache.org/msg12170.html


相关文章

腾讯云服务器

为企业提供:云服务器/视频/游戏/微信开发/软件/网站/APP…云解决方案

  • QQ群咨询:377986805 咨询电话:15818558013
  • 技术支持:0755-33940501-808 17603077568
  • 产品咨询:0755-33940501-803 15818558013