Apache Kylin命令注入漏洞CVE-2022-43396

近日,我司监测到Apache发布安全公告,修复了一个存在于Apache Kylin中的命令注入漏洞,该漏洞是由于黑名单机制被绕过,导致恶意用户可以通过控制conf的kylin.engine.spark-cmd参数来执行命令。

Apache Kylin™是用于大数据的开源,分布式分析数据仓库;它旨在提供大数据时代的OLAP(在线分析处理)功能。通过在Hadoop和Spark上革新多维多维数据集和预计算技术,无论数据量如何增长,Kylin都能实现接近恒定的查询速度。Kylin将查询延迟从几分钟减少到亚秒级,将在线分析重新带回大数据。

 

影响版本:

  • Apache Kylin < 4.0.3

 

安全版本:

  • Apache Kylin >= 4.0.3

 

 

修复建议:

官方已经针对漏洞发布了版本更新,下载地址如下:

https://kylin.apache.org/download/

 

 

 

发表评论

评论已关闭。

相关文章