漏洞描述:
Apache Kylin是一个开源的分布式分析引擎,它最初由eBay开发,现在是Apache Software Foundation的项目。Apache Kylin建立在Apache Hadoop,Apache Hive,Apache HBase,Apache Parquet,Apache Calcite,Apache Spark和其他技术之上。这些技术使Kylin可以轻松扩展以支持海量数据负载。
Apache Kylin 有一个restful api会在没有认可认证的情况下暴露配置信息。攻击者可利用该漏洞获取系统敏感信息
漏洞利用条件:
Apache Kylin 有一个restful api会在没有认可认证的情况下暴露配置信息
漏洞影响范围:
Kylin 2.x.x
Kylin <= 3.1.0
Kylin 4.0.0-alpha
漏洞复现:
1.验证poc:/kylin/api/admin/config
修复建议:
1.升级到安全版本,或执行以下缓解措施:
2.编辑 "$KYLIN_HOME/WEB-INF/classes/kylinSecurity.xml";
3.删除下列行 "<scr:intercept-url pattern="/api/admin/config" access="permitAll"/>";
重启 Kylin实例以使其生效。