一、概要

近日，華為云關(guān)注到Apache Kylin在多個版本中存在未授權(quán)配置泄露漏洞。Apache Kylin有一個restful api會在沒有任何認證的情況下暴露配置信息。

華為云提醒使用Apache Kylin的用戶及時安排自檢并做好安全加固。

參考鏈接：

https://www.mail-archive.com/dev@kylin.apache.org/msg12170.html

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急）

三、漏洞影響范圍

影響版本：

Apache Kylin 2.x.x

Apache Kylin <= 3.1.0

Apache Kylin 4.0.0-alpha

安全版本：

Apache Kylin 3.1.1 

四、漏洞處置

目前，官方已發(fā)布新版本Apache Kylin 3.1.1 修復(fù)了該漏洞，請受影響的用戶升級到安全版本：

下載地址：https://kylin.apache.org/docs/release_notes.html

或執(zhí)行以下緩解措施：

編輯 "$KYLIN_HOME/WEB-INF/classes/kylinSecurity.xml"，刪除下列行 "<scr:intercept-url pattern="/api/admin/config" access="permitAll"/>"，重啟 Kylin實例以使其生效。

注：修復(fù)漏洞前請將資料備份，并進行充分測試。