Apache Kylin 命令注入漏洞复现(CVE-2020-1956)

已于 2023-01-12 20:17:53 修改
阅读量823 收藏 3
点赞数 2
分类专栏: 漏洞复现 文章标签: kylin 安全 web安全 apache
于 2022-12-30 20:02:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/128499816
版权

1、产品简介

   Apache Kylin是一个开源的、分布式的分析型数据仓库,提供Hadoop/Spark之上的 SQL 查询接口及多维分析(OLAP)能力以支持超大规模数据,最初由 eBay 开发并贡献至开源社区。它能在亚秒内查询巨大的表。

2、漏洞概述

Apache Kylin 中的静态 API 存在安全漏洞,可以将os命令与用户输入字符串连接起来,攻击者可以在Kylin没有任何保护或验证的情况下执行任何os命令。

3、影响范围

  Kylin 2.3.0-2.3.2

  Kylin 2.4.0-2.4.1

  Kylin 2.5.0-2.5.2

  Kylin 2.6.0-2.6.5

  Kylin 3.0.0-alpha

  Kylin 3.0.0-alpha2

  Kylin 3.0.0-beta

  Kylin 3.0.0-3.0.1

4、环境搭建

  直接使用vulfocus进行复现

5、利用流程

1、使用默认密码 admin/KYLIN 登录

2、修改配置,

  添加以下配置:

kylin.tool.auuto-migrate-cube.enabled=true
kyl
了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Apache Kylin 部署之不完全指南
听雨草堂
01-30 255
1. 引言 Apache Kylin(麒麟)是由eBay开源的分布式分析引擎,提供Hadoop之上的SQL查询接口及多维分析(OLAP)能力以支持超大规模数据。底层存储用的是HBase,数据输入与cube building用的是Hive,中间数据存储用的是HDFS。搭建环境: Kylin version = 1.2 Hive version = 0.13.1-cdh5.3.2 HBase ver...
Kylin简述
wudidahuanggua的博客
10-05 1002
kylin简述
1、Apache Kylin概述(kylin权威指南)
Imflash的博客
09-20 770
概述 本内容以Apache Kylin v1.5为基础 1、背景和历史 略 2、Apache Kylin的使命 Kylin的使命是超高速的大数据OLAP(Online Analytical Processing), 也就是要让大数据分析像使用数据库一样简单迅速,用户的查询请求可 以在秒内返回,交互式数据分析将以前所未有的速度释放大数据里潜藏 的知识和信息,让我们在面对未来的挑战时占得先机。 ...
2024年最新第一个“国产“Apache顶级项目——Kylin(1),2024年最新一线互联网架构师筑基必备技能之大数据开发篇
最新发布
2401_84181145的博客
05-14 585
(4)修改 HBase 对应的配置文件① hbase-env.sh 文件的修改内容如下② hbase-site.xml 文件的修改内容如下③ 在 regionservers 文件中增加如下内容④ 软连接 Hadoop 配置文件到 HBase⑤ 将 HBase 远程发送到其他集群(4)配置 HBase 环境变量刷新环境变量(5)启动 HBase 服务。进入hbase shell执行上述操作,执行list命令,如果能显示以下内容,表示安装成功。当然,你也可以通过host:port。
掌握Apache Kylin:工作原理、设置指南及实际应用全解析
猫头虎:授渔优于赠鱼,兴趣引领智慧,探索之乐尤显珍贵。商务合作:Libin9iOak,共赴知识与乐趣的探索之旅!
12-22 1063
在这篇博客中,我们将深入探讨的工作原理、优势以及如何高效使用它来处理大数据。这篇文章是为了帮助那些对大数据分析、数据立方体、OLAP技术感兴趣的读者,无论是初学者还是行业专家。我们将探讨Kylin的关键特性,如预计算数据立方体、多维分析和海量数据支持,以及如何在实际项目中应用这些特性。Apache Kylin, 大数据, 数据立方体, OLAP, 数据分析, SQL, Hadoop, 数据仓库。
Apache Kylin(一)
蚂蚁拾贝的博客
12-10 1880
Apache Kylin
开源分布式支持超大规模数据分析型数据仓库Apache Kylin实践-上
itxiaoshen博客
02-09 1589
再下一城又一个实时多维交互式分析数仓利器,了解其特性和架构组成,进一步阐述相关概念和其生态圈;介绍作为开发测试最快捷方式的Docker单机部署;也基于Hadoop环境一步步部署最新v4.0.3二进制并解决遇到的问题,最后通过一个读取hive数据示例介绍kylin创建项目、选择数据源、创建Model、创建Cube、Cube的构建,全面认识kylin预计算查询的性能。
Apache Kylin远程代码执行漏洞CVE-2020-1956复现
锋刃科技的博客
03-05 1292
简介 Apache Kylin是美国 Apache软件基金会的一款开源的分布式分析型数据仓库。该产品主要提供 Hadoop/Spark之上的 SQL查询接口及多维分析(OLAP)等功能。 漏洞概述 在Kylin中存在一些restful API,可以将操作系统命令与用户输入的字符串连接起来,由于未对用户输入内容做合理校验,导致攻击者可以在未经验证的情况下执行任意系统命令。 影响版本 Kylin 2.3.0-2.3.2 Kylin 2.4.0-2.4.1 Kyl...
Apache Kylin 远程操作系统命令注入漏洞(CVE-2020-13925)
锋刃科技的博客
12-18 1544
简介 Apache Kylin™是一个开源的、分布式的分析型数据仓库,提供Hadoop/Spark 之上的 SQL 查询接口及多维分析(OLAP)能力以支持超大规模数据,最初由 eBay 开发并贡献至开源社区。它能在亚秒内查询巨大的表。 漏洞概述 Apache Kylin中存在安全漏洞,该漏洞源于某一API没有进行输入验证。远程攻击者可利用该漏洞执行命令。 影响版本 Apache Kylin 2.3.0版本版本, 2.3.1版本版本, 2.3.2版本版本, 2.4.0版本版本, ...
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
apache-kylin-4.0.1-bin-spark2-3.0.0-cdh6.2.0.tar.gz
02-25
针对cdh6.2.0编译的apache-kylin-4.0.1版本: scala:2.11.12 spark:2.4.7 hadoop:3.0.0 hive:2.1.1 cdh:3.0.0-cdh6.2.0
OpenSSH(CVE-2023-38408)一键升级修复-OpenSSH9.5p1
10-17
在2023年,OpenSSH发现了一个名为CVE-2023-38408的安全漏洞,这个漏洞可能允许攻击者在特定条件下绕过身份验证或执行未授权的操作,对系统安全构成威胁。为了保护您的系统不受此漏洞影响,及时升级到OpenSSH 9.5p1...
apache-kylin-3.0.2-bin-hbase1x.tar.gz
02-22
这个“apache-kylin-3.0.2-bin-hbase1x.tar.gz”文件是Apache Kylin的3.0.2版本的二进制发行版,针对HBase 1.x版本进行了优化。下面我们将详细讨论Apache Kylin及其3.0.2版本的关键特性,以及与HBase的集成。 ...
apache-kylin-3.1.0-bin-cdh60.tar.gz
04-06
这个“apache-kylin-3.1.0-bin-cdh60.tar.gz”文件是Kylin 3.1.0版本针对CDH 6.0的二进制发行版,其中包含了运行Kylin所需的所有组件和配置文件。 1. **Apache Kylin介绍**: - **概念**:Apache Kylin是一个预计...
Kylin Linux系统安装Apache
liguorui_98的博客
05-25 468
Kylin Linux系统安装Apache
CVE-2020-1956 Apache kylin命令执行漏洞分析
afeng12345678的博客
07-31 333
Apache Kylin命令执行漏洞白盒复现分析。分析文章为本人原创,转载请注明出处。
service注入为空_Apache Kylin 命令注入漏洞 CVE20201956
weixin_39977136的博客
11-27 182
点击蓝字关注我们声明本文作者:Peiqi 本文字数:4000阅读时长:40min附件/链接:点击查看原文下载声明:请勿用作违法用途,否则后果自负本文属于WgpSec原创奖励计划,未经许可禁止转载前言漏洞复现一、漏洞描述2020年5月22日,CNVD 通报了 Apache Kylin 存在命令注入漏洞 CVE-2020-1956,地址在 http://www.cnnvd.org.cn/we...
Apache Kylin 概览
12-17 409
https://www.jianshu.com/p/4f4417ef790a 扩展阅读: Apache Kylin 查询流程源码剖析 - 简书 可能是全网最深度的 Apache Kylin 查询剖析 - 简书 一、什么是 Kylin Apche Kylin 是 Hadoop 大数据平台上的一个开源 OLAP 引擎。它采用多维立方体(Cube)预计算技术,可以将某些场景下的大数据 SQL 查...
Kylin的介绍、使用和原理架构(Kylin3.0和Kylin4.0,Cube,去重原理,性能优化,MDX For Kylin,BI工具集成)
迷雾总会解
06-22 3744
Apache Kylin是一个开源的分布式分析引擎,提供Hadoop/Spark之上的SQL查询接口及多维分析(OLAP)能力以支持超大规模数据,最初由eBay Inc开发并贡献至开源社区。它能在亚秒内查询巨大的Hive表。在Apache Kylin的现有实现中,Cube的每个Segment都会创建独立的字典,这种方式会导致相同数据在不同Segment字典中被映射成不同的值,这会导致最终的去重结果出错。
kylin下lpstat -W completed -o能输出什么
06-04
Kylin操作系统下,`lpstat -W completed -o` 命令将输出已完成的打印作业的详细信息。输出结果包括以下信息: - 作业ID(Job ID) - 作业名称(Job Name) - 打印机名称(Printer Name) - 所有者(Owner) - 文件大小(File Size) - 打印状态(Print Status) - 作业状态(Job Status) - 创建时间(Creation Time) - 打印开始时间(Print Start Time) - 打印完成时间(Print Completion Time) - 打印份数(Copies) - 分页数(Pages) - 打印机描述(Printer Description) 例如,以下是 `lpstat -W completed -o` 命令Kylin操作系统下的输出示例: ``` job 1234 (completed) 'file1.txt' 1 copies at printer1 ``` 在上面的示例中,作业ID为 1234,作业名称为 file1.txt,打印机名称为 printer1,打印份数为 1,打印状态为 completed。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值