【漏洞预警】Apache Kylin命令注入漏洞

【漏洞预警】Apache Kylin命令注入漏洞
2023-1-4 13:46:56 Author: www.secpulse.com(查看原文) 阅读量:33 收藏

1. 通告信息

近日，安识科技A-Team团队监测到Apache发布安全公告，披露了Apache Kylin中的一个命令注入漏洞，漏洞编号：CVE-2022-43396，漏洞等级：高危。

对此，安识科技建议广大用户及时升级到安全版本，并做好资产自查以及预防工作，以免遭受黑客攻击。

2. 漏洞概述

CVE编号：CVE-2022-43396

简述：在CVE-2022-24697的修复中，黑名单用于过滤用户输入命令，但存在被忽视的风险，用户可以控制conf的命令参数来执行命令。

3. 漏洞危害

Apache Kylin是一个开源的分布式分析引擎，旨在为Apache Hadoop提供SQL接口和多维分析（OLAP），支持超大数据集。

该漏洞源于Apache Kylin命令注入漏洞（CVE-2022-24697）修复措施的安全绕过（黑名单绕过），恶意用户可以通过控制conf的kylin.engine.spark-cmd参数来执行命令。

4. 影响版本

Apache Kylin版本 < 4.0.3

5. 解决方案

目前该漏洞已经修复，Apache Kylin 2.x 、3.x 、4.x用户可及时升级到4.0.3 版本或应用补丁。

下载链接：

https://kylin.apache.org/download/

补丁链接：

https://github.com/apache/kylin/pull/2011

6. 时间轴

【-】2023年01月02日安识科技A-Team团队监测到漏洞公布信息

【-】2023年01月03日安识科技A-Team团队根据漏洞信息分析

【-】2023年01月04日安识科技A-Team团队发布安全通告

本文作者：安识科技

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/194605.html

文章来源: https://www.secpulse.com/archives/194605.html
如有侵权请联系:admin#unsafe.sh