【安全通报】Apache Kylin 远程代码执行漏洞|NOSEC安全讯息平台 – 白帽汇安全研究院

Author:


1.png

2020年5月28日,Apache Kylin官方发布安全公告,披露了一个Apache Kylin远程代码执行漏洞。Kylin有一些restful API,可以将os命令与用户输入字符串连接起来,攻击者可以在Kylin没有任何保护或验证的情况下执行任何os命令。

Apache Kylin是一个开源的、分布式的分析型数据仓库,提供 Hadoop 之上的 SQL 查询接口及多维分析(OLAP)能力,以支持超大规模数据,最初由eBay Inc.开发并贡献至开源社区。

CVE 编号

CVE-2020-1956

影响版本

  • Kylin 2.3.0-2.3.2

  • Kylin 2.4.0-2.4.1

  • Kylin 2.5.0-2.5.2

  • Kylin 2.6.0-2.6.5

  • Kylin 3.0.0-alpha

  • Kylin 3.0.0-alpha2

  • Kylin 3.0.0-beta

  • Kylin 3.0.0-3.0.1

修复建议

  1. 官方发布的最新版本已经修复了此漏洞,请受影响的用户下载最新版本。下载链接:http://kylin.apache.org/cn/download/

  2. 若相关用户暂时无法进行升级操作,可采用以下措施进行临时缓解:

    kylin.tool.auto-migrate-cube.enabled 设置为 false,禁用系统命令执行

参考

[1].https://kylin.apache.org/docs/security.html

[2].https://github.com/apache/kylin/commit/9cc3793ab2f2f0053c467a9b3f38cb7791cd436a#

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。



Source link

You must be logged in to post a comment.

RELATED STORIES
Category Database Management Systems

Security Expert Re: Study Cites Biggest Security Threats To WordPress Sites

January 29, 2021
A new study by Wordfence showed that WordPress sites were most threatened in 2020 by...
Read More
Category Database Management Systems

Oracle WebLogic Server 12.2.1.0 Remote Code Execution

January 28, 2021
# Exploit Title: Oracle WebLogic Server 12.2.1.0 – RCE (Unauthenticated) # Google Dork: inurl:\”/console/login/LoginForm.jsp\” #...
Read More
Category Database Management Systems

More Security Vendors Admit to SolarWinds Attacks – Security news

January 27, 2021
More Security Vendors Admit to SolarWinds AttacksSeveral more cybersecurity vendors have revealed that they were...
Read More
Category Database Management Systems

CVE-2021-2109 Weblogic Server远程代码执行漏洞复现及分析 – FreeBuf网络安全行业门户

January 26, 2021
2021年1月Oracle发布了安全更新补丁,包含Oracle产品系列中的329个新安全补丁。此次公告中特别提到了,2020年11月1日发布的Oracle WebLogic Server关于CVE-2020-14750漏洞的安全公告。强烈建议客户应用此补丁更新,及此公告中的其他补丁。CVE编号CVE-2021-2109,该漏洞为Weblogic 的远程代码执行漏洞。漏洞主要由JNDI注入,导致攻击者可利用此漏洞远程代码执行。 影响版本如下: Weblogic Server 10.3.6.0.0 Weblogic Server 12.1.3.0.0 Weblogic Server 12.2.1.3.0 Weblogic...
Read More
Category Database Management Systems

Library System 1.0 – ‘category’ SQL Injection

January 25, 2021
# Exploit Title: Library System 1.0 - 'category' SQL Injection # Exploit Author: Aitor Herrero ...
Read More
Category Database Management Systems

CVE-2021-2109 Oracle Fusion Middleware 访问控制错误漏洞 -漏洞情报、漏洞详情、安全漏洞、CVE

January 24, 2021
# Exploit Title: Oracle WebLogic Server 14.1.1.0 - RCE (Authenticated) # Date: 2021-01-21 # Exploit...
Read More
Category Database Management Systems

Vulnerability in pngcheck: buffer overflow via check_chunk_name

January 23, 2021
The Vigil@nce team watches public vulnerabilities impacting your computers, and then offers security solutions, a...
Read More
Category Database Management Systems

Se encuentra un ‘bypass’ de la protección contra XSS en CloudFlare

January 22, 2021
Se encuentra un ‘bypass’ de la protección contra XSS en CloudFlare – Una al Día...
Read More
Category Database Management Systems

Fortinet sécurise les entreprises utilisatrices de SAP

January 21, 2021
SAP compte parmi les poids lourds mondiaux du logiciel : 92% des entreprises du palmarès Forbes...
Read More
Category Database Management Systems

(CVE-2019-9193)PostgreSQL 高权限命令执行漏洞

January 20, 2021
0x00简介. PostgreSQL( 读作 Post-Gres-Q-L)是一个功能非常强大的、源代码开放的客户/服务器关系型数据库管理系统(RDBMS)。采用类似MIT的许可协议,允许开发人员做任何事情,包括在开源或闭源产品中商用,其源代码是免费提供的。 PostgreSQL特点: Ø 支持WINDOWS、Linux、Solaris、macOS 、BSD。 Ø 支持文本、图像、视频、声音等. Ø 支持ACID、关联完整性、数据库事务、Unicode多国语言。 Ø 支持临时表,与物化视图. Ø...
Read More
digitpol
scale
element-support
Call Center
+31 55 8448040
element-map
Location

Global

International Cyber Crime Investigation

Digitpol is licensed by the Ministry of Justice: Licence Number POB1557

©Digitpol. All images and content are copyright of Digitpol and can not be used, replicated or reproduced without written permission. 2019.

Privacy  /   Terms and Policy   /   Site map  /   Contact