CVE-2020-1956 | Apache Kylin远程代码执行漏洞通告
发布时间 2020-05-290x00 漏洞概述
|
CVE ID |
CVE-2020-1956 |
时 间 |
2020-05-29 |
|
类 型 |
RCE |
等 级 |
高危 |
|
远程利用 |
是 |
影响范围 |
Kylin 2.3.0 to 2.3.2 Kylin 2.4.0 to 2.4.1 Kylin 2.5.0 to 2.5.2 Kylin 2.6.0 to 2.6.5 Kylin 3.0.0-alpha, Kylin 3.0.0-alpha2, Kylin 3.0.0-beta, Kylin 3.0.0, Kylin 3.0.1 |
0x01 漏洞详情
Apache Kylin是美国阿帕奇(Apache)软件基金会的一款开源的分布式分析型数据仓库。该产品主要提供Hadoop/Spark之上的SQL查询接口及多维分析(OLAP)等功能。
近日Apache官方发布通告,修复了一个Apache Kylin远程代码执行漏洞(CVE-2020-1956)。Kylin中的restful API存在安全漏洞,可以将os命令与用户输入字符串连接起来,攻击者可以在Kylin没有任何保护或验证的情况下执行任何os命令。
0x02 处置建议
官方已发布最新版本修复了此漏洞,用户应尽快升级到2.6.6或3.0.2版本,下载链接:
http://kylin.apache.org/cn/download/
临时措施:由于该漏洞的入口为migrateCube,可将kylin.tool.auto-migrate-cube.enabled设置为false以禁用命令执行。
0x03 相关新闻
https://osint.geekcq.com/2020/05/22/cve-2020-1956/
0x04 参考链接
https://kylin.apache.org/docs/security.html
https://github.com/apache/kylin/commit/9cc3793ab2f2f0053c467a9b3f38cb7791cd436a#
0x05 时间线
2020-05-29 VSRC发布漏洞通告
京公网安备11010802024551号