Apache Kylin 远程命令执行漏洞(CVE-2020-1956)

来源:scanv2020.05.30

一 漏洞概述

近日,Apache官方发布安全公告,修复了一个Apache Kylin的远程命令执行漏洞(CVE-2020-1956)。在Kylin中存在一些restful API,可以将操作系统命令与用户输入的字符串连接起来,由于未对用户输入内容做合理校验,导致攻击者可以在未经验证的情况下执行任意系统命令。
Apache Kylin是美国阿帕奇(Apache)软件基金会的一款开源的分布式分析型数据仓库。该产品主要提供Hadoop/Spark之上的SQL查询接口及多维分析(OLAP)等功能。

二 影响版本

Kylin 2.3.0 - 2.3.2、Kylin 2.4.0 - 2.4.1、Kylin 2.5.0 - 2.5.2、Kylin 2.6.0 - 2.6.5、Kylin 3.0.0-alpha、Kylin 3.0.0-alpha2、Kylin 3.0.0-beta、Kylin 3.0.0 - 3.0.1。

三 复现过程

四 影响范围

根据 ZoomEye 网络空间搜索引擎对关键字 “Apache” 进行搜索,共得到 171,041,908 条 IP 历史记录,主要分布在美国、德国、中国等国家。

五 修复建议

1.建议受影响的用户尽快升级版本进行防护:http://kylin.apache.org/cn/download/

2.若相关用户暂时无法进行升级操作,可采用以下措施进行临时缓解:

将kylin.tool.auto-migrate-cube.enabled 设置为 false,禁用系统命令执行。

六 相关链接

Kylin:http://kylin.apache.org/cn/download/

ZoomEye 网络空间搜索引擎:https://www.zoomeye.org/searchResult/report?q=app%3A%22Apache%22

热门文章

  • Kubernetes容器节点漏洞(CVE-2020-8558)

    Kubernetes存在一个容器漏洞(CVE-2020-8558),攻击者可能通过共享主机网络的容器,或在集群节点上访问同一个二层网络下的相邻节点上绑定监听了本地127.0.0.1端口的TCP/UDP服务,从而获取接口信息。如果服务没有设置必要的安全认证,可能造成信息泄露风险。

  • Citrix产品多个安全漏洞

    2020年7月7日,Citrix官方发布安全公告,在Citrix ADC、Citrix网关和Citrix SD-WAN WANOP 4000-WO、4100-WO、5000-WO和5100-WO版本中发现了多个漏洞。

  • PAN-OS GlobalProtect portal命令注入漏洞(CVE-2020-2034)

    2020年7月8日,Palo Alto Networks发布安全公告,修复了一个PAN-OS GlobalProtect portal中的命令注入漏洞(CVE-2020-2034),该漏洞导致未经身份验证的攻击者可在受影响的设备上以root权限执行任意OS命令。

关注知道创宇云安全

获取安全动态