首页 » 安全预警 » 正文

【高危安全通告】Apache Kylin 远程代码执行漏洞

2020年5月28日,Apache Kylin官方发布安全公告,披露了一个Apache Kylin远程代码执行漏洞。Kylin有一些restful API,可以将os命令与用户输入字符串连接起来,攻击者可以在Kylin没有任何保护或验证的情况下执行任何os命令。

Apache Kylin是一个开源的、分布式的分析型数据仓库,提供 Hadoop 之上的 SQL 查询接口及多维分析(OLAP)能力,以支持超大规模数据,最初由eBay Inc.开发并贡献至开源社区。

目前官方已在最新版本2.6.6与3.0.2中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:

http://kylin.apache.org/cn/download/

其他防护措施

若相关用户暂时无法进行升级操作,可采用以下临时缓解措施:

将kylin.tool.auto-migrate-cube.enabled 设置为 false, 以禁用命令执行。

发表评论