【高危】- Apache Kylin 远程代码执行漏洞(CVE-2020-1956)
■ 漏洞描述
Apache Kylin是Apache软件基金会的一款开源的、分布式的分析型数据仓库,主要提供Hadoop/Spark之上的SQL查询接口及多维分析(OLAP)能力,以支持超大规模数据。
Apache官方发布安全公告,修复了一个Apache Kylin的远程命令执行漏洞(CVE-2020-1956)。在Kylin中存在一些restful API,可以将操作系统命令与用户输入的字符串连接起来,
由于未对用户输入内容做合理校验,导致攻击者可以在未经验证的情况下执行任意系统命令。
■ 影响范围
Kylin 2.3.0 – 2.3.2
Kylin 2.4.0 – 2.4.1
Kylin 2.5.0 – 2.5.2
Kylin 2.6.0 – 2.6.5
Kylin 3.0.0-alpha
Kylin 3.0.0-alpha2
Kylin 3.0.0-beta
Kylin 3.0.0 – 3.0.1
■ 漏洞检测
检测方法:
1、查看系统版本。
■ 漏洞修复
官方发布的最新版本已经修复了此漏洞,请受影响的用户下载最新版本,安全版本:
Kylin = 2.6.6,Kylin = 3.0.2。下载链接:http://kylin.apache.org/cn/download/
■ 临时修复
若相关用户暂时无法进行升级操作,可采用以下措施进行临时缓解: 将kylin.tool.auto-migrate-cube.enabled 设置为 false,禁用系统命令执行。
■ 漏洞详情
https://mp.weixin.qq.com/s/P8jJTdwlj3MFAZtzzXGbmg
Apache Kylin是Apache软件基金会的一款开源的、分布式的分析型数据仓库,主要提供Hadoop/Spark之上的SQL查询接口及多维分析(OLAP)能力,以支持超大规模数据。
Apache官方发布安全公告,修复了一个Apache Kylin的远程命令执行漏洞(CVE-2020-1956)。在Kylin中存在一些restful API,可以将操作系统命令与用户输入的字符串连接起来,
由于未对用户输入内容做合理校验,导致攻击者可以在未经验证的情况下执行任意系统命令。
■ 影响范围
Kylin 2.3.0 – 2.3.2
Kylin 2.4.0 – 2.4.1
Kylin 2.5.0 – 2.5.2
Kylin 2.6.0 – 2.6.5
Kylin 3.0.0-alpha
Kylin 3.0.0-alpha2
Kylin 3.0.0-beta
Kylin 3.0.0 – 3.0.1
■ 漏洞检测
检测方法:
1、查看系统版本。
■ 漏洞修复
官方发布的最新版本已经修复了此漏洞,请受影响的用户下载最新版本,安全版本:
Kylin = 2.6.6,Kylin = 3.0.2。下载链接:http://kylin.apache.org/cn/download/
■ 临时修复
若相关用户暂时无法进行升级操作,可采用以下措施进行临时缓解: 将kylin.tool.auto-migrate-cube.enabled 设置为 false,禁用系统命令执行。
■ 漏洞详情
https://mp.weixin.qq.com/s/P8jJTdwlj3MFAZtzzXGbmg