首頁 > 安全研究 > 安全通報 > 安全通告

CVE-2020-1956 | Apache Kylin遠程代碼執行漏洞通告

發布時間 2020-05-29

0x00 漏洞概述


CVE   ID

CVE-2020-1956

   

2020-05-29

   

RCE

   

高危

遠程利用

影響范圍

Kylin 2.3.0 to 2.3.2

Kylin 2.4.0 to 2.4.1

Kylin 2.5.0 to 2.5.2

Kylin 2.6.0 to 2.6.5

Kylin 3.0.0-alpha, Kylin 3.0.0-alpha2, Kylin 3.0.0-beta, Kylin 3.0.0, Kylin 3.0.1


0x01 漏洞詳情




Apache Kylin是美國阿帕奇(Apache)軟件基金會的一款開源的分布式分析型數據倉庫。該產品主要提供Hadoop/Spark之上的SQL查詢接口及多維分析(OLAP)等功能。

近日Apache官方發布通告,修復了一個Apache Kylin遠程代碼執行漏洞(CVE-2020-1956)。Kylin中的restful API存在安全漏洞,可以將os命令與用戶輸入字符串連接起來,攻擊者可以在Kylin沒有任何保護或驗證的情況下執行任何os命令。

0x02 處置建議

官方已發布最新版本修復了此漏洞,用戶應盡快升級到2.6.6或3.0.2版本,下載鏈接:

http://kylin.apache.org/cn/download/

臨時措施:由于該漏洞的入口為migrateCube,可將kylin.tool.auto-migrate-cube.enabled設置為false以禁用命令執行。


0x03 相關新聞


https://osint.geekcq.com/2020/05/22/cve-2020-1956/


0x04 參考鏈接


https://kylin.apache.org/docs/security.html

https://github.com/apache/kylin/commit/9cc3793ab2f2f0053c467a9b3f38cb7791cd436a#


0x05 時間線


2020-05-29 VSRC發布漏洞通告




上一篇 下一篇