大工网安告[2022]041

一、情况分析

1.1漏洞背景

Apache Kylin是一个开源的、分布式的分析型数据仓库，采用Java编写，充分融入Hadoop生态系统，提供Hadoop/Spark之上的SQL查询接口及多维分析（OLAP）能力以支持超大规模数据，它能在亚秒内查询巨大的表，最初由eBay开发并贡献至开源社区。近日，新华三攻防实验室威胁预警团队监测到Apache官方发布了安全公告，修复了Kylin中的一个命令注入漏洞(CVE-2022-24697)，恶意攻击者可以利用该漏洞在Kylin服务器上执行任意命令。

1.2漏洞详情

该漏洞是由于Kylin的多维数据集设计器函数未对用户输入的数据进行充分验证，恶意攻击者通过闭合“--conf=”参数值两边的单引号，从而覆盖配置中的系统参数来覆盖掉菜单配置触发漏洞，最终能够在目标系统上执行任意命令。严重等级：高危

二、影响范围

Apache Kylin < 4.0.2

三、处置建议

目前官方已修复该漏洞，受影响用户可以升级更新到安全版本版本，官方链接：https://github.com/apache/kylin/releases/tag/kylin-4.0.2

参考链接：https://lists.apache.org/thread/07mnn9c7o314wrhrwjr10w9j5s82voj4