🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
查看原文
其他

近期 Apache Kylin 安全漏洞报告,建议升级

apachekylin apachekylin 2022-04-23

近期新披露两个安全漏洞,分别是命令注入漏洞和 Hive SQL 注入漏洞。请大家参考下面的方法来尽快处理安全漏洞。


命令注入漏洞


  • CVE (Common Vulnerabilities and Exposures 通用漏洞披露) ID: CVE-2020-13925 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13925)

  • 漏洞类型:命令注入

  • 重要程度:重要

  • 影响 Kylin 版本:Kylin 2.3.0 至 2.3.2, Kylin 2.4.0 至 2.4.1, Kylin 2.5.0 至 2.5.2, Kylin 2.6.0 至 2.6.6, Kylin 3.0.0-alpha, Kylin 3.0.0-alpha2, Kylin 3.0.0-beta, Kylin 3.0.0 至 3.0.2



问题描述

上述 Kylin 版本中存在 Restful API 会通过拼接命令进行操作,这可能使得攻击者可以通过在这些 API 的参数拼接上额外的命令元素,进行未经授权的操作。



处理方法

方法一:
升级到 3.1.0 版本。
 
方法二:
目前修复代码已经更新到 Apache Kylin master 代码分支以及 2.6.x 和 3.0.x 分支,有需要的用户可以自行打包安装使用。


SQL 注入漏洞


  • CVE (Common Vulnerabilities and Exposures 通用漏洞披露) ID: CVE-2020-13926 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13926)

  • 漏洞类型:SQL 注入

  • 重要程度:重要

  • 影响 Kylin 版本:Kylin 2.3.0 至 2.3.2, Kylin 2.4.0 至 2.4.1, Kylin 2.5.0 至 2.5.2, Kylin 2.6.0 至 2.6.6, Kylin 3.0.0-alpha, Kylin 3.0.0-alpha2, Kylin 3.0.0-beta, Kylin 3.0.0 至 3.0.2



问题描述

上述 Kylin 版本中存在通过读取配置属性作为参数拼接 Hive SQL 的操作,这可能使得攻击者可以通过在这些配置参数拼接上额外的 SQL 指令,进行未经授权的查询等操作。



处理方法(建议采取方法一)

方法一:

升级到 3.1.0 版本。
 
方法二:
目前修复代码已经更新到 Apache Kylin master 代码分支以及 2.6.x 和 3.0.x 分支,有需要的用户可以自行打包安装使用。



* 更多详细信息请访问 Kylin 安全页面:

https://kylin.apache.org/docs/security.html






活动报名



7 月 18 日(本周六)20 点

 直播 | Apache Kylin Meetup

eBay 和爱奇艺的嘉宾们等着你~

现在就去报名吧

↓↓↓扫描二维码免费报名↓↓↓






“阅读原文”了解本周六的 Kylin Meetup~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存