CVE-2020-13937 | Apache Kylin信息泄露漏洞通告

  • A+
所属分类:安全漏洞


0x00 漏洞概述

CVE ID

CVE-2020-13937

时  间

2020-10-20

类  型

信息泄露

等  级

高危

远程利用

影响范围


 

ApacheKylin是Apache软件基金会的一款开源的分布式分析型数据仓库。其主要提供Hadoop/Spark之上的SQL查询接口及多维分析(OLAP)等功能以支持超大规模的数据查询。


0x01 漏洞详情

CVE-2020-13937 | Apache Kylin信息泄露漏洞通告

 

2020年10月19日,Apache Kylin发布安全通告,Kylin中存在一个未经身份验证的配置信息泄露漏洞,漏洞跟踪为CVE-2020-13937。该漏洞是由于Kylin使用的静态API存在安全漏洞,成功利用此漏洞的攻击者无需任何身份验证就可以暴露Kylin的配置信息。

 

漏洞影响范围:

Kylin2.0.0、2.1.0、2.2.0、2.3.0、2.3.1、2.3.2、2.4.0、2.4.1、2.5.0、2.5.1、2.5.2、2.6.0、2.6.1、2.6.2、2.6.3、2.6.4、2.6.5、2.6.6

Kylin3.0.0-alpha、3.0.0-alpha2、3.0.0-beta、3.0.0、3.0.1、3.0.2、3.1.0

Kylin4.0.0-alpha


0x02 处置建议

目前Apache Kylin团队已发布新版本,建议及时升级到3.1.1。

下载地址:

http://kylin.apache.org/cn/download/


临时措施

如果不想升级至3.1.1,可以编辑

"$KYLIN_HOME/WEB-INF/classes/kylinSecurity.xml"文件,然后删除此行后重启kylin使其生效:

"<scr:intercept-urlpattern="/api/admin/config" access="permitAll"/>".

 

0x03 参考链接

https://www.mail-archive.com/[email protected]/msg12170.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13937

https://nvd.nist.gov/vuln/detail/CVE-2020-13937


0x04 时间线

2020-10-19 Apache Kylin发布安全公告

2020-10-20 VSRC发布安全通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/

 

 

 

本文始发于微信公众号(维他命安全):CVE-2020-13937 | Apache Kylin信息泄露漏洞通告

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: