一、概要

近日，华为云关注到Apache Kylin在多个版本中存在未授权配置泄露漏洞。Apache Kylin有一个restful api会在没有任何认证的情况下暴露配置信息。

华为云提醒使用Apache Kylin的用户及时安排自检并做好安全加固。

参考链接：

https://www.mail-archive.com/dev@kylin.apache.org/msg12170.html

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Apache Kylin 2.x.x

Apache Kylin <= 3.1.0

Apache Kylin 4.0.0-alpha

安全版本：

Apache Kylin 3.1.1 

四、漏洞处置

目前，官方已发布新版本Apache Kylin 3.1.1 修复了该漏洞，请受影响的用户升级到安全版本：

下载地址：https://kylin.apache.org/docs/release_notes.html

或执行以下缓解措施：

编辑 "$KYLIN_HOME/WEB-INF/classes/kylinSecurity.xml"，删除下列行 "<scr:intercept-url pattern="/api/admin/config" access="permitAll"/>"，重启 Kylin实例以使其生效。

注：修复漏洞前请将资料备份，并进行充分测试。