Apache Druid远程代码执行漏洞安全风险通告

  • A+
所属分类:安全漏洞
Apache Druid远程代码执行漏洞安全风险通告

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




风险通告



近日,奇安信CERT监测到Apache Druid官方发布安全更新,修复了 CVE-2021-26919 Apache Druid 远程代码执行漏洞。攻击者可通过构造恶意请求利用此漏洞,从而在目标服务器上执行任意代码。在默认情况下,该漏洞不需要认证即可触发。鉴于此漏洞影响较大,建议客户尽快自查修复。



当前漏洞状态



细节是否公开

PoC状态

EXP状态

在野利用

未知

未知

未知




漏洞描述

Druid是一个开源的分布式数据存储,旨在商业智能(在线分析处理,OLAP)的事件数据查询。Druid提供了低延迟(实时)数据提取,灵活的数据浏览和快速的数据聚合。

近日,奇安信CERT监测到Apache Druid官方发布安全更新,修复了 CVE-2021-26919 Apache Druid 远程代码执行漏洞。攻击者可通过构造恶意请求利用此漏洞,从而在目标服务器上执行任意代码。在默认情况下,该漏洞不需要认证即可触发。以下为漏洞复现截图,鉴于此漏洞影响较大,建议用户尽快自查修复。



风险等级


奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)



影响范围

Apache Druid < 0.20.2



处置建议

1、请参考以下链接尽快升级至安全版本(Apache Druid 0.20.2):

https://github.com/apache/druid/releases/tag/druid-0.20.2

2、缓解措施(添加授权认证):

  • 引入 druid-basic-security 扩展

    • druid.extensions.loadList=["druid-basic-security"]

  • 配置 Authenticator , Escalator , Authorizer

    • druid.auth.authenticatorChain=["kerberos", "basic"]

    • druid.escalator.type=basic

    • druid.auth.authorizers=["basic"]


更多详情请参照:

https://druid.apache.org/docs/latest/development/extensions-core/druid-basic-security.html



参考资料

https://github.com/apache/druid/releases/tag/druid-0.20.2



时间线

奇安信 CERT发布安全风险通告





Apache Druid远程代码执行漏洞安全风险通告

奇安信CERT长期招募安全研究员

↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓


本文始发于微信公众号(奇安信 CERT):【安全风险通告】Apache Druid远程代码执行漏洞安全风险通告

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: