大工网安告[2022]041
一、情况分析
1.1漏洞背景
Apache Kylin是一个开源的、分布式的分析型数据仓库,采用Java编写,充分融入Hadoop生态系统,提供Hadoop/Spark之上的SQL查询接口及多维分析(OLAP)能力以支持超大规模数据,它能在亚秒内查询巨大的表,最初由eBay开发并贡献至开源社区。近日,新华三攻防实验室威胁预警团队监测到Apache官方发布了安全公告,修复了Kylin中的一个命令注入漏洞(CVE-2022-24697),恶意攻击者可以利用该漏洞在Kylin服务器上执行任意命令。
1.2漏洞详情
该漏洞是由于Kylin的多维数据集设计器函数未对用户输入的数据进行充分验证,恶意攻击者通过闭合“--conf=”参数值两边的单引号,从而覆盖配置中的系统参数来覆盖掉菜单配置触发漏洞,最终能够在目标系统上执行任意命令。严重等级:高危
二、影响范围
Apache Kylin < 4.0.2
三、处置建议
目前官方已修复该漏洞,受影响用户可以升级更新到安全版本版本,官方链接:https://github.com/apache/kylin/releases/tag/kylin-4.0.2
参考链接:https://lists.apache.org/thread/07mnn9c7o314wrhrwjr10w9j5s82voj4