发布日期：2022-01-06
更新日期：2022-03-10

受影响系统：

Apache Apache Kylin 2 <= 2.6.6
Apache Apache Kylin 3 <= 3.1.2
Apache Apache Kylin 4 <= 4.0.0

描述：

---

CVE(CAN) ID: CVE-2021-45458

Apache Kylin是美国阿帕奇（Apache）基金会的一款开源的分布式分析型数据仓库。该产品主要提供Hadoop/Spark之上的SQL查询接口及多维分析（OLAP）等功能。
Apache Kylin 2的2.6.6及之前版本、Apache Kylin 3的3.1.2及之前版本和Apache Kylin 4的4.0.0及之前版本中存在加密错误漏洞，该漏洞源于在用户使用的PasswordPlaceholderConfigurer加密类的加密算法中，密码由硬编码密钥和IV进行初始化。当使用该加密类进行密码加密并将其配置到kylin的配置文件中时，攻击者可利用该漏洞解密密码。

<*来源：Alvaro Munoz
  
  链接：https://lists.apache.org/thread/oof215qz188k16vhlo97cm1jksxdowfy
*>

建议：

---

厂商补丁：

Apache
------
Apache已经为此发布了一个安全公告（CVE-2021-45458）以及相应补丁:
CVE-2021-45458：CVE-2021-45458: Apache Kylin: Hardcoded credentials
链接：https://lists.apache.org/thread/oof215qz188k16vhlo97cm1jksxdowfy

浏览次数：1479
严重程度：0（网友投票）