CVE-2020-13937|Apache Kylin的未授权配置泄露漏洞,腾讯安全全面支持检测

2020-10-19 21:56:31
Apache Kylin 有一个restful api会在没有认可认证的情况下暴露配置信息,攻击者可利用该漏洞获取系统敏感信息。

漏洞描述:

Apache Kylin 有一个restful api会在没有认可认证的情况下暴露配置信息。


攻击者可利用该漏洞获取系统敏感信息。


Apache Kylin是一个开源的分布式分析引擎,它最初由eBay开发,现在是Apache Software Foundation的项目。Apache Kylin建立在Apache Hadoop,Apache Hive,Apache HBase,Apache Parquet,Apache Calcite,Apache Spark和其他技术之上。这些技术使Kylin可以轻松扩展以支持海量数据负载。

 

漏洞等级:高危

 

受影响的版本:

Kylin 2.x.x

Kylin <= 3.1.0

Kylin 4.0.0-alpha

 

安全版本:

Kylin 3.1.1

 

PoC:

截止目前,暂未公开


漏洞修复:

升级到安全版本,或执行以下缓解措施:

编辑 "$KYLIN_HOME/WEB-INF/classes/kylinSecurity.xml";

删除下列行 "<scr:intercept-url pattern="/api/admin/config" access="permitAll"/>";

重启 Kylin实例以使其生效。


腾讯安全解决方案:

1.腾讯T-Sec漏洞扫描服务(Vulnerability Scan Service,VSS)漏洞特征库日期2020-10-20之后的版本,已支持检测全网资产是否存在Apache Kylin未授权配置泄露漏洞,并提醒用户修复。
关于腾讯T-Sec漏洞扫描服务的更多信息,可参考官网:https://cloud.tencent.com/product/vss

2.腾讯T-Sec主机安全(云镜)漏洞库日期2020-10-20之后的版本,已支持对Apache Kylin未授权配置泄露漏洞进行检测。
关于腾讯T-Sec主机安全(云镜)的更多信息,可参考官网:https://cloud.tencent.com/product/cwp

3.腾讯T-Sec云防火墙规则库日期2020-10-20之后的版本,已支持对Apache Kylin未授权配置泄露漏洞的检测和拦截。
关于腾讯T-Sec云防火墙的更多信息,可参考官网:https://cloud.tencent.com/product/cfw

4.腾讯T-Sec高级威胁检测系统(御界)规则库日期2020-10-20之后的版本,已支持对Apache Kylin未授权配置泄露漏洞的攻击检测。

关于腾讯T-Sec高级威胁检测系统(御界)的更多信息,可参考官网:https://cloud.tencent.com/product/nta

 


参考链接:

https://www.mail-archive.com/dev@kylin.apache.org/msg12170.html

最新资讯