GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

CVE-2020-13937 | Apache Kylin信息泄露缝隙公告

颁布功夫 2020-10-20

0x00 缝隙概述

CVE ID	CVE-2020-13937	时间	2020-10-20
类型	信息泄露	等级	高危
远程利用	是	影响领域

Apache Kylin是Apache软件基金会的一款开源的散布式分析型数据仓库。其重要提供Hadoop/Spark之上的SQL查问接口及多维分析（OLAP）等职能以支持超大规模的数据查问。

0x01 缝隙详情

2020年10月19日，Apache Kylin颁布安全公告，Kylin中存在一个未经身份验证的配相信息泄露缝隙，缝隙跟踪为CVE-2020-13937。该缝隙是由于Kylin使用的静态API存在安全缝隙，成功利用此缝隙的攻击者无需任何身份验证就能够露出Kylin的配相信息。

缝隙影响领域：

Kylin2.0.0、2.1.0、2.2.0、2.3.0、2.3.1、2.3.2、2.4.0、2.4.1、2.5.0、2.5.1、2.5.2、2.6.0、2.6.1，2.6.2，2.6.3，2.6.4，2.6.5，2.6.6

Kylin3.0.0-alpha、3.0.0-alpha2、3.0.0-beta、3.0.0、3.0.1、3.0.2、3.1.0

Kylin4.0.0-alpha

0x02 措置建议

目前Apache Kylin团队已颁布新版本，建议实时升级到3.1.1。

下载地址：

http://kylin.apache.org/cn/download/

一时措施

若是不想升级至3.1.1，能够编纂

"$KYLIN_HOME/WEB-INF/classes/kylinSecurity.xml"文件，而后删除此行后沉启kylin使其生效：

"<scr:intercept-url pattern="/api/admin/config" access="permitAll"/>".

0x03 参考链接

https://www.mail-archive.com/dev@kylin.apache.org/msg12170.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13937

https://nvd.nist.gov/vuln/detail/CVE-2020-13937

0x04 功夫线

2020-10-19 Apache Kylin颁布安全布告

2020-10-20 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】