首頁 > 安全研究 > 安全通報 > 安全通告

CVE-2020-13937 | Apache Kylin信息泄露漏洞通告

發布時間 2020-10-20

0x00 漏洞概述

CVE  ID

CVE-2020-13937

時   間

2020-10-20

類   型

信息泄露

等   級

高危

遠程利用

影響范圍


 

Apache Kylin是Apache軟件基金會的一款開源的分布式分析型數據倉庫。其主要提供Hadoop/Spark之上的SQL查詢接口及多維分析(OLAP)等功能以支持超大規模的數據查詢。


0x01 漏洞詳情

image.png

 

2020年10月19日,Apache Kylin發布安全通告,Kylin中存在一個未經身份驗證的配置信息泄露漏洞,漏洞跟蹤為CVE-2020-13937。該漏洞是由于Kylin使用的靜態API存在安全漏洞,成功利用此漏洞的攻擊者無需任何身份驗證就可以暴露Kylin的配置信息。

 

漏洞影響范圍:

Kylin2.0.0、2.1.0、2.2.0、2.3.0、2.3.1、2.3.2、2.4.0、2.4.1、2.5.0、2.5.1、2.5.2、2.6.0、2.6.1,2.6.2,2.6.3,2.6.4,2.6.5,2.6.6

Kylin3.0.0-alpha、3.0.0-alpha2、3.0.0-beta、3.0.0、3.0.1、3.0.2、3.1.0

Kylin4.0.0-alpha


0x02 處置建議

目前Apache Kylin團隊已發布新版本,建議及時升級到3.1.1。

下載地址:

http://kylin.apache.org/cn/download/

 

臨時措施

如果不想升級至3.1.1,可以編輯

"$KYLIN_HOME/WEB-INF/classes/kylinSecurity.xml"文件,然后刪除此行后重啟kylin使其生效:

"<scr:intercept-url pattern="/api/admin/config" access="permitAll"/>".

 

0x03 參考鏈接

https://www.mail-archive.com/dev@kylin.apache.org/msg12170.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13937

https://nvd.nist.gov/vuln/detail/CVE-2020-13937


0x04 時間線

2020-10-19  Apache Kylin發布安全公告

2020-10-20  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/


 image.png

 

 


 

 

 

上一篇 下一篇