Apache Kylin命令注入漏洞预警(CVE-2020-13925)
【摘要】 Apache Kylin命令注入漏洞预警(CVE-2020-13925)
一、概要
近日,华为云关注到业界有安全研究人员披露Apache Kylin在多个版本中存在另一处命令注入漏洞(CVE-2020-13925)。该漏洞类似于CVE-2020-1956,Kylin的restful API可以将操作系统命令与用户输入的字符串连接起来,由于对用户输入的内容缺少必要的验证,导致攻击者可以远程执行任何系统命令而无需任何验证。
华为云提醒使用Apache Kylin的用户及时安排自检并做好安全加固。
参考链接:
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞影响范围
影响版本:
Apache Kylin 2.3.0 ~ 2.3.2
Apache Kylin 2.4.0 ~ 2.4.1
Apache Kylin 2.5.0 ~ 2.5.2
Apache Kylin 2.6.0 ~ 2.6.6
Apache Kylin 3.0.0-alpha, Apache Kylin 3.0.0-alpha2, Apache Kylin 3.0.0-beta, Apache Kylin 3.0.0, Kylin 3.0.1, Kylin 3.0.2
安全版本:
Apache Kylin 3.1.0
四、漏洞处置
目前,官方已发布新版本修复了该漏洞,请受影响的用户升级到安全版本:
下载地址:https://kylin.apache.org/download/
注:修复漏洞前请将资料备份,并进行充分测试。
【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)