一、概要

近日，華為云關(guān)注到Apache Kylin官網(wǎng)發(fā)布漏洞安全公告，披露Kylin在多個(gè)版本中存在命令注入漏洞（CVE-2020-1956）。Apache Kylin?是一個(gè)開源的、分布式的分析型數(shù)據(jù)倉庫，在多個(gè)版本的Kylin中提供的一些API可以將操作系統(tǒng)命令與用戶輸入的字符串連接起來，這可能會(huì)導(dǎo)致攻擊者可以執(zhí)行任何系統(tǒng)命令而無需任何驗(yàn)證。

華為云提醒使用Apache Kylin的用戶及時(shí)安排自檢并做好安全加固。

官方公告鏈接：https://kylin.apache.org/docs/security.html

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

Apache Kylin 2.3.0 ~ 2.3.2

Apache Kylin 2.4.0 ~ 2.4.1

Apache Kylin 2.5.0 ~ 2.5.2

Apache Kylin 2.6.0 ~ 2.6.5

Apache Kylin 3.0.0-alpha, Apache Kylin 3.0.0-alpha2, Apache Kylin 3.0.0-beta, Apache Kylin 3.0.0, Kylin 3.0.1

安全版本：

Apache Kylin 3.0.2 或 2.6.6 

四、漏洞處置

目前，官方已發(fā)布新版本修復(fù)了該漏洞，請(qǐng)受影響的用戶升級(jí)到安全版本：

下載地址：https://kylin.apache.org/download/

緩解措施：將kylin.tool.auto-migrate-cube.enabled設(shè)置為false以禁用命令執(zhí)行。

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。