• 基礎設施安全

  • 數據安全

  • 云計算安全

  • 工控安全

  • 物聯網安全

  • 信息技術應用創新

  • 全部產品

  • 全部解決方案

基礎設施安全


  • 政府

  • 運營商

  • 金融

  • 能源

  • 交通

  • 企業

  • 教育

  • 醫療

返回列表

Apache Kylin 遠程命令執行漏洞(CVE-2020-1956)通告

2020-05-29

一.  漏洞概述

近日,Apache官方發布安全公告,修復了一個Apache Kylin的遠程命令執行漏洞(CVE-2020-1956)。在Kylin中存在一些restful API,可以將操作系統命令與用戶輸入的字符串連接起來,由于未對用戶輸入內容做合理校驗,導致攻擊者可以在未經驗證的情況下執行任意系統命令。目前漏洞PoC已公開,請相關用戶及時采取措施進行防護。

Apache Kylin是Apache軟件基金會的一款開源的、分布式的分析型數據倉庫,主要提供Hadoop/Spark之上的SQL查詢接口及多維分析(OLAP)能力,以支持超大規模數據。

參考鏈接:

https://www.mail-archive.com/[email protected]/msg11687.html

 

二.  影響范圍

受影響版本

l  Kylin 2.3.0 - 2.3.2

l  Kylin 2.4.0 - 2.4.1

l  Kylin 2.5.0 - 2.5.2

l  Kylin 2.6.0 - 2.6.5

l  Kylin 3.0.0-alpha

l  Kylin 3.0.0-alpha2

l  Kylin 3.0.0-beta

l  Kylin 3.0.0 - 3.0.1

不受影響版本

l  Kylin = 2.6.6

l  Kylin = 3.0.2

 

三.  漏洞防護

3.1  官方升級

目前官方已在最新版本2.6.6與3.0.2中修復了該漏洞,請受影響的用戶盡快升級版本進行防護,官方下載鏈接:http://kylin.apache.org/cn/download/

3.2  其他防護措施

若相關用戶暫時無法進行升級操作,可采用以下臨時緩解措施:

將kylin.tool.auto-migrate-cube.enabled 設置為 false, 以禁用命令執行。

 

聲明

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。

綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

 

關于綠盟科技                                                 

綠盟科技集團股份有限公司(簡稱綠盟科技)成立于2000年4月,總部位于北京。在國內外設有40多個分支機構,為政府、運營商、金融、能源、互聯網以及教育、醫療等行業用戶,提供具有核心競爭力的安全產品及解決方案,幫助客戶實現業務的安全順暢運行。

基于多年的安全攻防研究,綠盟科技在網絡及終端安全、互聯網基礎安全、合規及安全管理等領域,為客戶提供入侵檢測/防護、抗拒絕服務攻擊、遠程安全評估以及Web安全防護等產品以及專業安全服務。

綠盟科技集團股份有限公司于2014年1月29日起在深圳證券交易所創業板上市,股票簡稱:綠盟科技,股票代碼:300369。

<<上一篇

【漏洞通告】Fastjson<=1.2.68遠程代碼執行漏洞通告

>>下一篇

最后一頁
?

您的聯系方式

*姓名
*單位名稱
*聯系方式
*驗證碼
提交到郵箱

購買熱線

  • 購買咨詢:

    400-818-6868-1

  • 服務熱線:

    010-68438880-5069

  • 投訴專線:

    010-59610080

提交項目需求

歡迎加入綠盟科技,成為我們的合作伙伴!
  • *請描述您的需求
  • *最終客戶名稱
  • *項目名稱
  • 您感興趣的產品
  • 項目預算
您的聯系方式
  • *姓名
  • *聯系電話
  • *郵箱
  • *職務
  • *公司
  • *城市
  • *行業
  • *驗證碼
  • 提交到郵箱

微博

微信

服務熱線

400-818-6868

服務時間

7*24小時

? 2020 NSFOCUS 綠盟科技 www.nsfocus.com All Rights Reserved . 京公網安備 11010802021605號 京ICP備14004349號 京ICP證110355號

每天读点故事如何赚钱 山东体彩扑克3下载 辽宁十一选五人工计划 短线的股票 36选7开奖结果走势图 排列三和值尾走势图 下载app安徽11选5遗漏 打麻将赚钱的app 快乐12走势图手机版 燕赵风采20选5最新开奖查询 浙江15选5开结果查询