0x00 漏洞概述
CVE ID | CVE-2022-43396 | 發現時間 | 2023-01-03 |
類 型 | 命令注入 | 等 級 | 高危 |
遠端利用 | 是 | 影響範圍 | |
攻擊複雜度 | 低 | 使用者互動 | 無 |
PoC/EXP | 在野利用 |
0x01 漏洞詳情
Apache Kylin是一個開源的分散式分析引擎,旨在為Apache Hadoop提供SQL接口和多維分析(OLAP),支持超大資料集。
2022年12月30日,Apache發佈安全公告,披露了Apache Kylin中的一個命令注入漏洞(CVE-2022-43396)。
該漏洞源於Apache Kylin命令注入漏洞(CVE-2022-24697)修復措施的安全繞過(黑名單繞過),惡意使用者可以通過控制conf的kylin.engine.spark-cmd參數來執行命令。
影響範圍
Apache Kylin版本 < 4.0.3
0x02 安全建議
目前該漏洞已經修復,Apache Kylin 2.x 、3.x 、4.x使用者可及時升級到4.0.3版本或應用補丁。
下載連結:
https://kylin.apache.org/download/
補丁連結:
https://github.com/apache/kylin/pull/2011
0x03 參考連結
https://lists.apache.org/thread/ob2ks04zl5ms0r44cd74y1xdl1rzfd1r
https://lists.apache.org/thread/o53vqxjdd9q731bwqpgcqyzx9r716qwx
https://lists.apache.org/thread/07mnn9c7o314wrhrwjr10w9j5s82voj4
0x04 版本資訊
版本 | 日期 | 修改內容 |
V1.0 | 2023-01-03 | 首次發佈 |