一 漏洞概述

近日，Apache官方发布安全公告，修复了一个Apache Kylin的远程命令执行漏洞（CVE-2020-1956）。在Kylin中存在一些restful API，可以将操作系统命令与用户输入的字符串连接起来，由于未对用户输入内容做合理校验，导致攻击者可以在未经验证的情况下执行任意系统命令。
Apache Kylin是美国阿帕奇（Apache）软件基金会的一款开源的分布式分析型数据仓库。该产品主要提供Hadoop/Spark之上的SQL查询接口及多维分析（OLAP）等功能。

二 影响版本

Kylin 2.3.0 - 2.3.2、Kylin 2.4.0 - 2.4.1、Kylin 2.5.0 - 2.5.2、Kylin 2.6.0 - 2.6.5、Kylin 3.0.0-alpha、Kylin 3.0.0-alpha2、Kylin 3.0.0-beta、Kylin 3.0.0 - 3.0.1。

三 复现过程

无

四 影响范围

根据 ZoomEye 网络空间搜索引擎对关键字 “Apache” 进行搜索，共得到 171,041,908 条 IP 历史记录，主要分布在美国、德国、中国等国家。

五 修复建议

1.建议受影响的用户尽快升级版本进行防护:http://kylin.apache.org/cn/download/

2.若相关用户暂时无法进行升级操作，可采用以下措施进行临时缓解：

将kylin.tool.auto-migrate-cube.enabled 设置为 false，禁用系统命令执行。

六 相关链接

Kylin：http://kylin.apache.org/cn/download/

ZoomEye 网络空间搜索引擎：https://www.zoomeye.org/searchResult/report?q=app%3A%22Apache%22