Apache Kylin未授权配置泄露漏洞(CVE-2020-13937)风险通告,腾讯安全全面支持检测

  • A+
所属分类:安全漏洞

1

漏洞描述


Apache Kylin有一个restful api会在没有认可认证的情况下暴露配置信息。


攻击者可利用该漏洞获取系统敏感信息。截止目前,该漏洞的PoC暂未公开。


Apache Kylin是一个开源的分布式分析引擎,它最初由eBay开发,现在是Apache Software Foundation的项目。Apache Kylin建立在Apache Hadoop,Apache Hive,Apache HBase,Apache Parquet,Apache Calcite,Apache Spark和其他技术之上。这些技术使Kylin可以轻松扩展以支持海量数据负载。


2

漏洞编号


CVE-2020-13937


3漏洞等级


高危


4

受影响的版本


Kylin 2.x.x

Kylin <= 3.1.0

Kylin 4.0.0-alpha


5

安全版本


Kylin 3.1.1



6

漏洞修复


腾讯安全专家建议受影响的用户尽快升级到安全版本。


或执行以下缓解措施:

编辑 :"$KYLIN_HOME/WEB-INF/classes/kylinSecurity.xml";

删除下列行:"<scr:intercept-url pattern="/api/admin/config" access="permitAll"/>";

重启 Kylin实例以使其生效。


7

腾讯安全解决方案


1.腾讯T-Sec漏洞扫描服务(Vulnerability Scan Service,VSS)漏洞特征库日期2020-10-20之后的版本,已支持检测全网资产是否存在Apache Kylin未授权配置泄露漏洞,并提醒用户修复。

关于腾讯T-Sec漏洞扫描服务的更多信息,可长按识别以下二维码查阅。

Apache Kylin未授权配置泄露漏洞(CVE-2020-13937)风险通告,腾讯安全全面支持检测

2.腾讯T-Sec主机安全(云镜)漏洞库日期2020-10-20之后的版本,已支持对Apache Kylin未授权配置泄露漏洞进行检测。

关于腾讯T-Sec主机安全(云镜)的更多信息,可长按识别以下二维码查阅。

Apache Kylin未授权配置泄露漏洞(CVE-2020-13937)风险通告,腾讯安全全面支持检测


3.腾讯T-Sec云防火墙规则库日期2020-10-20之后的版本,已支持对Apache Kylin未授权配置泄露漏洞的检测和拦截。

关于腾讯T-Sec云防火墙的更多信息,可长按识别以下二维码查阅。

Apache Kylin未授权配置泄露漏洞(CVE-2020-13937)风险通告,腾讯安全全面支持检测


4.腾讯T-Sec高级威胁检测系统(御界)规则库日期2020-10-20之后的版本,已支持对Apache Kylin未授权配置泄露漏洞的攻击检测。

关于腾讯T-Sec高级威胁检测系统(御界)的更多信息,可参考官网:https://cloud.tencent.com/product/nta

参考链接

https://www.mail-archive.com/[email protected]apache.org/msg12170.html



Apache Kylin未授权配置泄露漏洞(CVE-2020-13937)风险通告,腾讯安全全面支持检测

插播一条招聘广告(长期)

Apache Kylin未授权配置泄露漏洞(CVE-2020-13937)风险通告,腾讯安全全面支持检测

腾讯安全团队现有大量岗位急招客户端开发,Windows、Linux不限,要求3年以上安全领域相关工作经验,具有主机安全、终端安全和零信任经验者优先,有意请投简历到[email protected],诚邀加盟!


本文始发于微信公众号(腾讯安全威胁情报中心):Apache Kylin未授权配置泄露漏洞(CVE-2020-13937)风险通告,腾讯安全全面支持检测

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: