风险通告
近日,奇安信CERT监测到Apache Druid官方发布安全更新,修复了 CVE-2021-26919 Apache Druid 远程代码执行漏洞。由于Apache Druid 默认情况下缺乏授权认证,攻击者可直接构造恶意请求执行任意代码,控制服务器。且经过奇安信CERT验证,漏洞仍影响官方发布最新版本0.20.2,需要用户手动开启防护措施。鉴于此漏洞影响较大,建议客户尽快自查修复。
更新了漏洞定级
新增了修改配置的缓解措施
当前漏洞状态
|
细节是否公开 |
PoC状态 |
EXP状态 |
在野利用 |
|
否 |
未知 |
未知 |
未知 |
Druid是一个开源的分布式数据存储,旨在商业智能(在线分析处理,OLAP)的事件数据查询。Druid提供了低延迟(实时)数据提取,灵活的数据浏览和快速的数据聚合。
Druid默认使用内置的Derby元数据存储,但是官方推荐生产环境中使用MySQL或PostgreSQL。且漏洞触发需要存在漏洞利用所必须的mysql-connector-java 版本,漏洞利用存在一定限制。
值得注意一点是,在官方发布的最新版本(0.20.2)默认情况下漏洞仍旧可以成功利用,需要用户手动增加druid.access.jdbc.allowedProperties等配置参数来限制JDBC链接 (详细修复方案见处置建议章节)。
奇安信CERT已第一时间复现该漏洞,复现截图如下:
奇安信 CERT风险评级为:中危
Apache Druid < 0.20.2
1、请参考以下链接尽快升级至安全版本(Apache Druid 0.20.2):
https://github.com/apache/druid/releases/tag/druid-0.20.2
2、缓解措施(添加授权认证):
-
引入 druid-basic-security 扩展
-
配置 Authenticator , Escalator , Authorizer
druid.auth.authenticatorChain=["kerberos", "basic"]
druid.escalator.type=basic
druid.auth.authorizers=["basic"]
更多详情请参照:
https://druid.apache.org/docs/latest/development/extensions-core/druid-basic-security.html
3、缓解措施(修改配置):
根据自身业务情况在配置文件中增加druid.access.jdbc.enforceAllowedProperties、 druid.access.jdbc.allowedProperties、druid.access.jdbc.allowUnknownJdbcUrlFormat等属性来限制JDBC连接
更多详情请参照:
https://druid.apache.org/docs/latest/configuration/index.html#ingestion-security-configuration
奇安信网神网络数据传感器系统产品检测方案
奇安信网神网络数据传感器(NDS5000/7000/9000 系列)产品,已具备该漏
洞的检测能力。规则 ID 为:6323,建议用户尽快升级检测规则库至
2104021722 以后版本并启用该检测规则。
奇安信开源卫士已更新
奇安信开源卫士 20210402. 646 版本已支持对 Apache Druid 远程代码执行漏
洞(CVE-2021-26919)的检测。
奇安信网站应用安全云防护系统已更新防护特征库
奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护
规则,支持对 Apache Druid 远程代码执行漏洞(CVE-2021-26919)的防护。
奇安信天眼产品解决方案
奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请
将规则包升级到 3.0.0402.12724 上版本。规则名称:Apache Druid 远程代码执
行漏洞(CVE-2021-26919),规则 ID:0x10020C2B。奇安信天眼流量探针(传感
器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地
升级”。
2021年3月30日,奇安信 CERT发布安全风险通告
2021年4月2日,奇安信CERT发布安全风险通告第二次更新
本文始发于微信公众号(奇安信 CERT):【通告更新】奇安信CERT已验证,利用条件较高,产品已支持防护Apache Druid 远程代码执行漏洞安全风险通告第二次更新
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论