发布日期：2022-01-06
更新日期：2022-03-23

受影响系统：

Apache Apache Kylin 2 <= 2.6.6
Apache Apache Kylin 3 <= 3.1.2

描述：

---

CVE(CAN) ID: CVE-2021-36774

Apache Kylin是美国阿帕奇（Apache）基金会的一款开源的分布式分析型数据仓库。该产品主要提供Hadoop/Spark之上的SQL查询接口及多维分析（OLAP）等功能。
Apache kylin 2 2.6.6及之前版本和kylin 3 3.1.2及之前版本存在任意代码执行漏洞。如果MySQL JDBC驱动程序支持的某些属性未被禁用，则攻击者可利用该漏洞在其控制的MySQL服务器中执行任意代码。

<*来源：Jinchen Sheng（Ant Security FG Lab）
  
  链接：https://lists.apache.org/thread/lchpcvoolc6w8zc6vo1wstk8zbfqv2ow
*>

建议：

---

厂商补丁：

Apache
------
Apache已经为此发布了一个安全公告（CVE-2021-36774）以及相应补丁:
CVE-2021-36774：CVE-2021-36774: Apache Kylin: Mysql JDBC Connector Deserialize RCE
链接：https://lists.apache.org/thread/lchpcvoolc6w8zc6vo1wstk8zbfqv2ow

浏览次数：696
严重程度：0（网友投票）