1. 通告信息
2. 漏洞概述
3. 漏洞危害
Apache Kylin是一个开源的分布式分析引擎,旨在为Apache Hadoop提供SQL接口和多维分析(OLAP),支持超大数据集。
该漏洞源于Apache Kylin命令注入漏洞(CVE-2022-24697)修复措施的安全绕过(黑名单绕过),恶意用户可以通过控制conf的kylin.engine.spark-cmd参数来执行命令。
4. 影响版本
Apache Kylin版本 < 4.0.3
5. 解决方案
目前该漏洞已经修复,Apache Kylin 2.x 、3.x 、4.x用户可及时升级到4.0.3 版本或应用补丁。
下载链接:
https://kylin.apache.org/download/
补丁链接:
https://github.com/apache/kylin/pull/2011
6. 时间轴
【-】2023年01月02日 安识科技A-Team团队监测到漏洞公布信息
【-】2023年01月03日 安识科技A-Team团队根据漏洞信息分析
【-】2023年01月04日 安识科技A-Team团队发布安全通告
本文作者:安识科技
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/194605.html
必填 您当前尚未登录。 登录? 注册
必填(保密)