服务公告

全部公告 > 安全公告 > Apache Kylin 未授权配置泄露漏洞(CVE-2020-13937)

Apache Kylin 未授权配置泄露漏洞(CVE-2020-13937)

2020-10-20

一、概要

近日,华为云关注到Apache Kylin在多个版本中存在未授权配置泄露漏洞。Apache Kylin有一个restful api会在没有任何认证的情况下暴露配置信息。

华为云提醒使用Apache Kylin的用户及时安排自检并做好安全加固。

参考链接:

https://www.mail-archive.com/dev@kylin.apache.org/msg12170.html

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

Apache Kylin 2.x.x

Apache Kylin <= 3.1.0

Apache Kylin 4.0.0-alpha

安全版本:

Apache Kylin 3.1.1 

四、漏洞处置

目前,官方已发布新版本Apache Kylin 3.1.1 修复了该漏洞,请受影响的用户升级到安全版本:

下载地址:https://kylin.apache.org/docs/release_notes.html

或执行以下缓解措施:

编辑 "$KYLIN_HOME/WEB-INF/classes/kylinSecurity.xml",删除下列行 "<scr:intercept-url pattern="/api/admin/config" access="permitAll"/>",重启 Kylin实例以使其生效。

注:修复漏洞前请将资料备份,并进行充分测试。