1
漏洞描述
Apache Kylin有一个restful api会在没有认可认证的情况下暴露配置信息。
攻击者可利用该漏洞获取系统敏感信息。截止目前,该漏洞的PoC暂未公开。
Apache Kylin是一个开源的分布式分析引擎,它最初由eBay开发,现在是Apache Software Foundation的项目。Apache Kylin建立在Apache Hadoop,Apache Hive,Apache HBase,Apache Parquet,Apache Calcite,Apache Spark和其他技术之上。这些技术使Kylin可以轻松扩展以支持海量数据负载。
2
漏洞编号
CVE-2020-13937
3漏洞等级
高危
4
受影响的版本
Kylin 2.x.x
Kylin <= 3.1.0
Kylin 4.0.0-alpha
5
安全版本
Kylin 3.1.1
6
漏洞修复
腾讯安全专家建议受影响的用户尽快升级到安全版本。
或执行以下缓解措施:
编辑 :"$KYLIN_HOME/WEB-INF/classes/kylinSecurity.xml";
删除下列行:"<scr:intercept-url pattern="/api/admin/config" access="permitAll"/>";
重启 Kylin实例以使其生效。
7
腾讯安全解决方案
1.腾讯T-Sec漏洞扫描服务(Vulnerability Scan Service,VSS)漏洞特征库日期2020-10-20之后的版本,已支持检测全网资产是否存在Apache Kylin未授权配置泄露漏洞,并提醒用户修复。
关于腾讯T-Sec漏洞扫描服务的更多信息,可长按识别以下二维码查阅。
2.腾讯T-Sec主机安全(云镜)漏洞库日期2020-10-20之后的版本,已支持对Apache Kylin未授权配置泄露漏洞进行检测。
关于腾讯T-Sec主机安全(云镜)的更多信息,可长按识别以下二维码查阅。
3.腾讯T-Sec云防火墙规则库日期2020-10-20之后的版本,已支持对Apache Kylin未授权配置泄露漏洞的检测和拦截。
关于腾讯T-Sec云防火墙的更多信息,可长按识别以下二维码查阅。
4.腾讯T-Sec高级威胁检测系统(御界)规则库日期2020-10-20之后的版本,已支持对Apache Kylin未授权配置泄露漏洞的攻击检测。
关于腾讯T-Sec高级威胁检测系统(御界)的更多信息,可参考官网:https://cloud.tencent.com/product/nta
参考链接
https://www.mail-archive.com/dev@kylin.apache.org/msg12170.html
插播一条招聘广告(长期)
腾讯安全团队现有大量岗位急招客户端开发,Windows、Linux不限,要求3年以上安全领域相关工作经验,具有主机安全、终端安全和零信任经验者优先,有意请投简历到[email protected],诚邀加盟!
本文始发于微信公众号(腾讯安全威胁情报中心):Apache Kylin未授权配置泄露漏洞(CVE-2020-13937)风险通告,腾讯安全全面支持检测
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论