Any client who can access to Apache Kyuubi Server via Kyuubi frontend protocols can bypass server-side config kyuubi.session.local.dir.allow.list and use local files which are not listed in the config.
This issue affects Apache Kyuubi: from 1.6.0 through 1.10.2.
Users are recommended to upgrade to version 1.10.3 or upper, which fixes the issue.
Apache Kyuubi versions 1.6.0 through 1.10.2 contain a path traversal vulnerability (CWE-27) that allows authenticated clients to bypass the kyuubi.session.local.dir.allow.list configuration and access local files outside the permitted directory list. This high-severity vulnerability (CVSS 8.8) enables unauthorized file system access through Kyuubi frontend protocols, potentially exposing sensitive data and system configurations.
تؤثر هذه الثغرة الأمنية على خوادم Apache Kyuubi المستخدمة في بيئات تحليل البيانات الضخمة، حيث يمكن لأي عميل لديه صلاحية الوصول إلى خادم Kyuubi عبر البروتوكولات الأمامية استغلال ثغرة اجتياز المسار للوصول إلى ملفات النظام المحلية التي لم يتم إدراجها في قائمة الدلائل المسموح بها. يتجاوز المهاجم آليات التحكم في الوصول المعتمدة على الإعدادات، مما يسمح بقراءة ملفات حساسة مثل بيانات الاعتماد وملفات التكوين والبيانات السرية. تشكل هذه الثغرة خطراً كبيراً على سرية البيانات وسلامة الأنظمة في المؤسسات التي تعتمد على Kyuubi لإدارة جلسات Apache Spark وHive.
تحتوي إصدارات Apache Kyuubi من 1.6.0 إلى 1.10.2 على ثغرة اجتياز المسار (CWE-27) تسمح للعملاء المصادق عليهم بتجاوز إعدادات kyuubi.session.local.dir.allow.list والوصول إلى الملفات المحلية خارج قائمة الدلائل المسموح بها. هذه الثغرة عالية الخطورة (CVSS 8.8) تمكن من الوصول غير المصرح به لنظام الملفات عبر بروتوكولات Kyuubi الأمامية، مما قد يكشف البيانات الحساسة وإعدادات النظام.
1. Immediately upgrade Apache Kyuubi to version 1.10.3 or later to patch the path traversal vulnerability and restore proper enforcement of kyuubi.session.local.dir.allow.list configuration.
2. Conduct a comprehensive security audit of all Kyuubi server logs to identify any suspicious file access attempts outside permitted directories and assess potential data exposure during the vulnerability window.
3. Implement network segmentation to restrict Kyuubi frontend protocol access to authorized clients only, enforce strict authentication mechanisms, and review file system permissions on Kyuubi servers to minimize exposure of sensitive files.
1. الترقية الفورية لـ Apache Kyuubi إلى الإصدار 1.10.3 أو أحدث لإصلاح ثغرة اجتياز المسار واستعادة التطبيق الصحيح لإعدادات kyuubi.session.local.dir.allow.list.
2. إجراء تدقيق أمني شامل لجميع سجلات خادم Kyuubi لتحديد أي محاولات وصول مشبوهة للملفات خارج الدلائل المسموح بها وتقييم احتمالية كشف البيانات خلال فترة الثغرة الأمنية.
3. تطبيق تجزئة الشبكة لتقييد الوصول إلى بروتوكولات Kyuubi الأمامية للعملاء المصرح لهم فقط، وفرض آليات مصادقة صارمة، ومراجعة أذونات نظام الملفات على خوادم Kyuubi لتقليل تعرض الملفات الحساسة.