斗破苍穹续集,择天记

安全通告

Apache Kylin命令注入漏洞漏洞預(yù)警通告

發(fā)布日期：2023-01-04

Apache Kylin是一個(gè)開源的分布式分析引擎，提供Hadoop之上的SQL查詢接口及多維分析（OLAP）能力以支持超大規(guī)模數(shù)據(jù)，它能在亞秒內(nèi)查詢巨大的Hive表。

漏洞編號(hào)

Apache Kylin命令注入漏洞（CVE-2022-43396）、Apache Kylin命令注入漏洞（CVE-2022-44621）

漏洞危害

Apache Kylin命令注入漏洞（CVE-2022-43396）：攻擊者可通過該漏洞來利用engine.spark-cmd參數(shù)來執(zhí)行惡意命令并接管服務(wù)器。
Apache Kylin命令注入漏洞（CVE-2022-44621）：系統(tǒng)Controller未驗(yàn)證參數(shù)，攻擊者可以通過HTTP Request 進(jìn)行命令注入攻擊。

漏洞等級(jí)

嚴(yán)重
受影響版本

Apache Kylin 2.x，3.x，4.x < 4.0.3

修復(fù)方案

目前廠商已修復(fù)該漏洞，對此建議廣大用戶及時(shí)將Apache Kylin升級(jí)到最新版本。與此同時(shí)，請做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

下載鏈接：

https://kylin.apache.org/

參考鏈接

https://lists.apache.org/thread/ob2ks04zl5ms0r44cd74y1xdl1rzfd1r

漏洞播報(bào)