鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

CVE-2020-13937 | Apache Kylin信息泄露误差通告

宣布时间 2020-10-20

0x00 误差概述

CVE ID	CVE-2020-13937	时间	2020-10-20
类型	信息泄露	等级	高危
远程使用	是	影响规模

Apache Kylin是Apache软件基金会的一款开源的漫衍式剖析型数据客栈。。。。其主要提供Hadoop/Spark之上的SQL盘问接口及多维剖析（OLAP）等功效以支持超大规模的数据盘问。。。。

0x01 误差详情

2020年10月19日，，，，Apache Kylin宣布清静通告，，，，Kylin中保存一个未经身份验证的设置信息泄露误差，，，，误差跟踪为CVE-2020-13937。。。。该误差是由于Kylin使用的静态API保存清静误差，，，，乐成使用此误差的攻击者无需任何身份验证就可以袒露Kylin的设置信息。。。。

误差影响规模：

Kylin2.0.0、2.1.0、2.2.0、2.3.0、2.3.1、2.3.2、2.4.0、2.4.1、2.5.0、2.5.1、2.5.2、2.6.0、2.6.1，，，，2.6.2，，，，2.6.3，，，，2.6.4，，，，2.6.5，，，，2.6.6

Kylin3.0.0-alpha、3.0.0-alpha2、3.0.0-beta、3.0.0、3.0.1、3.0.2、3.1.0

Kylin4.0.0-alpha

0x02 处置惩罚建议

现在Apache Kylin团队已宣布新版本，，，，建议实时升级到3.1.1。。。。

下载地点：

http://kylin.apache.org/cn/download/

暂时步伐

若是不想升级至3.1.1，，，，可以编辑

"$KYLIN_HOME/WEB-INF/classes/kylinSecurity.xml"文件，，，，然后删除此行后重启kylin使其生效：

"<scr:intercept-url pattern="/api/admin/config" access="permitAll"/>".

0x03 参考链接

https://www.mail-archive.com/dev@kylin.apache.org/msg12170.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13937

https://nvd.nist.gov/vuln/detail/CVE-2020-13937

0x04 时间线

2020-10-19 Apache Kylin宣布清静通告

2020-10-20 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】