Kyligence Copilot - AI 数智助理,以 AI 变革企业经营与管理! 立即了解更多

logo
登录
申请演示
博客 > Apache Kylin

Kylin 与 Tomcat 近期安全漏洞,建议 Kylin 用户处理

2020年 3月 06日
近期新披露两个安全漏洞,一个是 Kylin 的 SQL 注入漏洞,一个是 Tomcat 的安全漏洞,因为 Kylin 使用 Tomcat 因此也受到影响。请大家参考下面的方法来尽快修复安全漏洞。

 

Apache Kylin

• CVE(Common Vulnerabilities and Exposures 通用漏洞披露)ID:CVE-2020-1937(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1937)
• 漏洞类型:SQL 注入
• 重要程度:重要
• 影响 Kylin 版本:Kylin 2.3.0 至 2.3.2,Kylin 2.4.0 至 2.4.1,Kylin 2.5.0 至 2.5.2,Kylin 2.6.0 至 2.6.4, Kylin 3.0.0-alpha,Kylin 3.0.0-alpha2,Kylin 3.0.0-beta,Kylin 3.0.0
问题描述:
上述 Kylin 版本中存在若干 Restful API 会通过输入参数拼接成 SQL 语句进行查询,这可能使得攻击者可以通过在这些 API 的参数拼接上额外的 SQL 元素,进行未经授权的查询等操作。
处理方法(建议采取其中一种):
方法一:
升级到 2.6.5 或者 3.0.1 版本
方法二:
修改 Restful API 权限配置,禁用部分 API,步骤为:
a) 停止 Kylin 服务
b) 修改 $KYLIN_HOME/tomcat/webapps/kylin/WEB-INF/classes/kylinSecurity.xml 文件,在配置 API 权限配置部分的
[scr:intercept-url pattern="/api/cubes/src/tables" access="hasAnyRole('ROLE_ANALYST')"/]

这一行下面,插入如下两行:

[scr:intercept-url pattern="/api/cubes/**/cuboids/**" access="denyAll"/]
[scr:intercept-url pattern="/api/dashboard/metric/**" access="denyAll"/]
后果是会导致 Dashboard 和 Cube Planner 功能不可用
C) 重启 Kylin 服务
特此感谢 Jonathan Leitschuh 发现并协助修复了该漏洞。

 

Apache Tomcat

• CVE(Common Vulnerabilities and Exposures 通用漏洞披露)ID:CVE-2020-1938(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1938)
• 漏洞类型:信息泄露
• 重要程度:重要
• 影响 Kylin 版本:所有 Kylin 版本
问题描述:
该漏洞是由于 Tomcat AJP 协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器 webapp 下的任意文件。若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。由于 Kylin 打包了 Tomcat 作为 web 容器,因而也存在此问题。
处理方法:
a) 停止 Kylin 服务
b) 打开配置文件 $KYLIN_HOME/tomcat/conf/server.xml
c)  找到如下配置(具体端口根据初始配置可能有差异,协议确认为 protocol="AJP/1.3")
[Connector port="9009" protocol="AJP/1.3" redirectPort="8443" /]

d) 注释如下代码:

[Connector port="9009" protocol="AJP/1.3" redirectPort="8443" /]

e) 启动 Kylin 服务

您可能会感兴趣
码上时刻|通过逻辑视图 Logic View 快速实现批流一体
头部银行 AI 落地实践|数据应用赋能经营管理闭环
精准铺货、动态调整,指标平台让零售饮料企业掌握线下渠道主动权
把简单留给用户,把复杂交给 AI
所有文章

阅读下一篇

所有文章
博客 | 公司博客
码上时刻|通过逻辑视图 Logic View 快速实现批流一体

近年来,随着商业环境的竞争日益激烈,企业对于实时数据服务的需求急剧增加。Kyligence 在服务众多客户的过

2024年 3月 27日
博客 | 公司博客
头部银行 AI 落地实践|数据应用赋能经营管理闭环

数据要素在银行各业务领域和流程中发挥着至关重要的作用,面对激烈的市场竞争和客户需求,银行越来越注重从数据管理中

2024年 3月 22日
博客 | 公司博客
精准铺货、动态调整,指标平台让零售饮料企业掌握线下渠道主动权

作为一名消费者,炎热的夏天我们会走进一家便利店,从冰柜中选出一瓶汽水;下午工作有点累了,我们会在公司的自动贩卖

2024年 3月 19日
博客 | 技术博客
把简单留给用户,把复杂交给 AI

2024 年伊始,Kyligence 联合创始人兼 CEO 韩卿(Luke)分享了对 AI 与数据行业的一些战

2024年 2月 29日
博客 | 技术博客
头部房企|数据驱动工程精细化运营,稳中提效

房地产行业是我国国民经济中的重要支柱产业之一,在房地产市场供求关系发生重大变化的当下,房企面临多重挑战。Kyl

2024年 2月 27日
博客 | 技术博客
AI 驱动的企业数据文化:塑造未来业务智能与卓越决策

今年年初,Kyligence 高级副总裁兼合伙人葛双寅(Silas Ge)受邀在阿斯利康“跃行致远三十周年年会

2024年 2月 23日
博客 | 技术博客
创业7年复盘,中美企业服务市场差异浅析

2024 年伊始,Kyligence 联合创始人兼 CEO 韩卿在公司内部的飞书订阅号发表了多篇 Rethin

2024年 1月 30日
博客 | 技术博客
AI 时代的数据与分析市场变化
2024 年伊始,Kyligence 联合创始人兼 CEO 韩卿在其公司内部的飞书订阅号发表了多篇 Rethink Data & Analytics 的内部信,分享了对数据与分析行业的一些战略思考,尤其是 AI...
2024年 1月 23日
博客 | 技术博客
想突破转化瓶颈?安排上 AI ,比漏斗图更高效、更实用!
...
2023年 12月 08日
电话咨询

400 8658 757

工作日:10:00 - 18:00
添加企微

kyligence
关注我们

kyligence
申请演示
免费试用
业务咨询
产品
Kyligence Zen
Kyligence Enterprise
下载中心
解决方案
Excel Copilot 数据洞察
Tableau 指标管理和复用
低代码指标分析平台
端到端准实时多维分析
低代码数据集市
数字渠道用户行为分析
企业级指标中台
资源
产品手册
白皮书
技术博客
视频
售后支持中心
关于
关于 Kyligence
市场活动
招贤纳士
联系我们

上海跬智信息技术有限公司

上海市浦东新区企荣路90号前滩国际广场18F

联系电话 021-6106 0928

业务咨询 400 8658 757

info@kyligence.io

版权所有 ©2024 上海跬智信息技术有限公司 保留一切权利 沪 ICP 备 16026036 号 -1 沪公网安备 31011502006713 号

隐私政策 使用条款