【漏洞详情】

Apache Kylin是一个开源的分布式分析引擎，近日，平安云安全中心监控到Apache Kylin官方发布漏洞通告，披露多个Kylin版本存在命令注入漏洞（CVE-2020-1956）。由于部分 Restful API未对用户输入数据做合理校验，导致攻击者无需验证即可利用此漏洞在服务端执行任意操作系统命令。

【风险评级】

高危

【影响范围】

l  Apache Kylin 2.3.0 ~ 2.3.2

l  Apache Kylin 2.4.0 ~ 2.4.1

l  Apache Kylin 2.5.0 ~ 2.5.2

l  Apache Kylin 2.6.0 ~ 2.6.5

l  Apache Kylin 3.0.0-alpha, Apache Kylin 3.0.0-alpha2, Apache Kylin 3.0.0-beta, Apache Kylin 3.0.0, Kylin 3.0.1

【修复建议】

建议受影响的用户依据实际业务评估漏洞风险影响，可通过如下方案避免安全风险：

方案一，官方已发布新版本(Apache Kylin 3.0.2 或 2.6.6)修复了该漏洞，建议下载并升级到安全版本，下载地址： https://kylin.apache.org/download/；

方案二，缓解措施：将kylin.tool.auto-migrate-cube.enabled设置为false以禁用命令执行。

【参考链接】

https://www.mail-archive.com/dev@kylin.apache.org/msg11687.html

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2020年5月21日