一、背景介绍
近日,市委网信办技术支撑单位监测到Apache官方发布了安全公告,修复了Apache Kylin命令注入漏洞(CVE-2022-43396)。
1.1 漏洞描述
Apache Kylin是一个开源的分布式分析引擎,提供Hadoop之上的SQL查询接口及多维分析(OLAP)能力以支持超大规模数据。
在对Apache Kylin命令注入漏洞(CVE-2022-
24697)的修复中,黑名单用于过滤用户输入命令,但存在被绕过的风险,攻击者通过可控jobId参数的HTTP请求对Kylin所在服务器进行任意命令注入,故产生Apache Kylin命令注入漏洞(CVE-2022-43396)。
1.2 漏洞编号
CVE-2022-43396
1.3漏洞等级
高危
二、修复建议
2.1 受影响版本
Apache Kylin < 4.0.3
2.2 修复建议
目前官方已修复上述漏洞,建议受影响的用户升级至4.0.3版本。
下载链接:https://kylin.apache.org/download/