【漏洞通告】Apache Kylin 远程命令执行漏洞(CVE-2020-1956)
2023-09-11 14:17:07 时间
【漏洞通告】Apache Kylin 远程命令执行漏洞(CVE-2020-1956)
原创 威胁对抗能力部 [绿盟科技安全情报](javascript:void(0)😉 昨天
通告编号:NS-2020-0035
2020-05-29
| TA****G: | Apache Kylin、命令执行、CVE-2020-1956 |
|---|---|
| 漏****洞危害: | 攻击者利用此漏洞,可实现远程命令执行,PoC已公开。 |
| 版本: | 1.0 |
1
漏洞概述
近日,Apache官方发布安全公告,修复了一个Apache Kylin的远程命令执行漏洞(CVE-2020-1956)。在Kylin中存在一些restful API,可以将操作系统命令与用户输入的字符串连接起来,由于未对用户输入内容做合理校验,导致攻击者可以在未经验证的情况下执行任意系统命令。目前漏洞PoC已公开,请相关用户及时采取措施进行防护。
Apache Kylin是Apache软件基金会的一款开源的、分布式的分析型数据仓库,主要提供Hadoop/Spark之上的SQL查询接口及多维分析(OLAP)能力,以支持超大规模数据。
参考链接:
https://www.mail-archive.com/dev@kylin.apache.org/msg11687.html
SEE MORE →
2影响范围
受影响版本
- Kylin 2.3.0 - 2.3.2
- Kylin 2.4.0 - 2.4.1
- Kylin 2.5.0 - 2.5.2
- Kylin 2.6.0 - 2.6.5
- Kylin 3.0.0-alpha
- Kylin 3.0.0-alpha2
- Kylin 3.0.0-beta
- Kylin 3.0.0 - 3.0.1
不受影响版本
- Kylin = 2.6.6
- Kylin = 3.0.2
3漏洞防护
3.1 官方升级
目前官方已在最新版本2.6.6与3.0.2中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:http://kylin.apache.org/cn/download/
3.2 其他防护措施
若相关用户暂时无法进行升级操作,可采用以下措施进行临时缓解:
将kylin.tool.auto-migrate-cube.enabled 设置为 false,禁用系统命令执行。
转载自https://mp.weixin.qq.com/s/b93y4vmJn3i8ubdK99HxYw
相关文章
- Apache MINA (2) Hello World!
- Apache系列:Centos7.2下安装与配置apache
- hadoop拷贝文件时 org.apache.hadoop.ipc.RemoteException异常的解决
- Apache 优化配置10条建议
- Apache Shiro 身份验证绕过漏洞 复现(CVE-2020-11989)
- Bug剖析篇-"Facebook 60TB+级的Apache Spark应用案例"
- Linux下Apache ActiveMQ5.9的安装配置与测试
- Apache文件解析漏洞详解
- CVE-2019-0192 Apache solr远程反序列化代码执行漏洞危害
- 解决Exception in thread “main“ org.apache.spark.SparkException: When running with master ‘yarn‘ either
- 配置apache、php、mysql之间的关系
- apache+php+mysql最新版windows下
- Nginx:承受3万并发连接数,胜过Apache 10倍
- 常见问题之apache-archiva-2.2.x密码过期问题
- Apache Zookeeper 未授权访问漏洞【原理扫描】
- 07 - vulhub - Apache SSI 远程命令执行漏洞
- RHEL7安装配置Apache
- 反序列化渗透与攻防(三)之Apache Commons Collections反序列化漏洞
- Apache Kafka 基本操作