首页 > 清静研究 > 清静转达 > 清静通告

CVE-2020-1956 | Apache Kylin远程代码执行误差通告

宣布时间 2020-05-29

0x00 误差概述

CVE ID

CVE-2020-1956

时间

2020-05-29

类型

RCE

等级

高危

远程使用

是

影响规模

Kylin 2.3.0 to 2.3.2

Kylin 2.4.0 to 2.4.1

Kylin 2.5.0 to 2.5.2

Kylin 2.6.0 to 2.6.5

Kylin 3.0.0-alpha, Kylin 3.0.0-alpha2, Kylin 3.0.0-beta, Kylin 3.0.0, Kylin 3.0.1

0x01 误差详情

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

Apache Kylin是美国阿帕奇（Apache）软件基金会的一款开源的漫衍式剖析型数据客栈。。。该产品主要提供Hadoop/Spark之上的SQL盘问接口及多维剖析（OLAP）等功效。。。

克日Apache官方宣布通告，，，修复了一个Apache Kylin远程代码执行误差（CVE-2020-1956）。。。Kylin中的restful API保存清静误差，，，可以将os下令与用户输入字符勾通接起来，，，攻击者可以在Kylin没有任何�；；；；せ蜓橹さ那樾蜗轮葱腥魏蝟s下令。。。

0x02 处置惩罚建议

官方已宣布最新版本修复了此误差，，，用户应尽快升级到2.6.6或3.0.2版本，，，下载链接：

http://kylin.apache.org/cn/download/

暂时步伐：由于该误差的入口为migrateCube，，，可将kylin.tool.auto-migrate-cube.enabled设置为false以禁用下令执行。。。

0x03 相关新闻

https://osint.geekcq.com/2020/05/22/cve-2020-1956/

0x04 参考链接

https://kylin.apache.org/docs/security.html

https://github.com/apache/kylin/commit/9cc3793ab2f2f0053c467a9b3f38cb7791cd436a#

0x05 时间线

2020-05-29 VSRC宣布误差通告

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

CVE-2020-1956 | Apache Kylin远程代码执行误差通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线