首页 > 安全公告 > 正文

关于Apache Kylin 命令注入漏洞(CVE-2022-24697)的安全公告

来源:时间:2022-10-17点击数:

大工网安告[2022]041

一、情况分析

1.1漏洞背景

Apache Kylin是一个开源的、分布式的分析型数据仓库,采用Java编写,充分融入Hadoop生态系统,提供Hadoop/Spark之上的SQL查询接口及多维分析(OLAP)能力以支持超大规模数据,它能在亚秒内查询巨大的表,最初由eBay开发并贡献至开源社区。近日,新华三攻防实验室威胁预警团队监测到Apache官方发布了安全公告,修复了Kylin中的一个命令注入漏洞(CVE-2022-24697),恶意攻击者可以利用该漏洞在Kylin服务器上执行任意命令。

1.2漏洞详情

该漏洞是由于Kylin的多维数据集设计器函数未对用户输入的数据进行充分验证,恶意攻击者通过闭合“--conf=”参数值两边的单引号,从而覆盖配置中的系统参数来覆盖掉菜单配置触发漏洞,最终能够在目标系统上执行任意命令。严重等级:高危

二、影响范围

Apache Kylin < 4.0.2

三、处置建议

目前官方已修复该漏洞,受影响用户可以升级更新到安全版本版本,官方链接:https://github.com/apache/kylin/releases/tag/kylin-4.0.2

参考链接:https://lists.apache.org/thread/07mnn9c7o314wrhrwjr10w9j5s82voj4


地址:大连市甘井子区凌工路2号,大连理工大学 邮编:116024

电话:0411-84708645 copyright2013 大连理工大学网络与信息化中心