CVE-2020-1956 | Apache Kylin远程代码执行漏洞通告

发布时间 2020-05-29

0x00 漏洞概述


CVE   ID

CVE-2020-1956

   

2020-05-29

   

RCE

   

高危

远程利用

影响范围

Kylin 2.3.0 to 2.3.2

Kylin 2.4.0 to 2.4.1

Kylin 2.5.0 to 2.5.2

Kylin 2.6.0 to 2.6.5

Kylin 3.0.0-alpha, Kylin 3.0.0-alpha2, Kylin 3.0.0-beta, Kylin 3.0.0, Kylin 3.0.1


0x01 漏洞详情




Apache Kylin是美国阿帕奇(Apache)软件基金会的一款开源的分布式分析型数据仓库。该产品主要提供Hadoop/Spark之上的SQL查询接口及多维分析(OLAP)等功能。

近日Apache官方发布通告,修复了一个Apache Kylin远程代码执行漏洞(CVE-2020-1956)。Kylin中的restful API存在安全漏洞,可以将os命令与用户输入字符串连接起来,攻击者可以在Kylin没有任何保护或验证的情况下执行任何os命令。

0x02 处置建议

官方已发布最新版本修复了此漏洞,用户应尽快升级到2.6.6或3.0.2版本,下载链接:

http://kylin.apache.org/cn/download/

临时措施:由于该漏洞的入口为migrateCube,可将kylin.tool.auto-migrate-cube.enabled设置为false以禁用命令执行。


0x03 相关新闻


https://osint.geekcq.com/2020/05/22/cve-2020-1956/


0x04 参考链接


https://kylin.apache.org/docs/security.html

https://github.com/apache/kylin/commit/9cc3793ab2f2f0053c467a9b3f38cb7791cd436a#


0x05 时间线


2020-05-29 VSRC发布漏洞通告