安全通告
Apache Kylin命令注入漏洞漏洞预警通告
发布日期:2023-01-04
漏洞描述
Apache Kylin是一个开源的分布式分析引擎,提供Hadoop之上的SQL查询接口及多维分析(OLAP)能力以支持超大规模数据,它能在亚秒内查询巨大的Hive表。
漏洞编号
Apache Kylin命令注入漏洞(CVE-2022-43396)、Apache Kylin命令注入漏洞(CVE-2022-44621)
漏洞危害
- Apache Kylin命令注入漏洞(CVE-2022-43396):攻击者可通过该漏洞来利用engine.spark-cmd参数来执行恶意命令并接管服务器。
- Apache Kylin命令注入漏洞(CVE-2022-44621):系统Controller未验证参数,攻击者可以通过HTTP Request 进行命令注入攻击。
漏洞等级
严重
受影响版本
Apache Kylin 2.x,3.x,4.x < 4.0.3
修复方案
目前厂商已修复该漏洞,对此建议广大用户及时将Apache Kylin升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
下载链接:
参考链接
https://lists.apache.org/thread/ob2ks04zl5ms0r44cd74y1xdl1rzfd1r