记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

【安全风险通告】Apache Druid远程代码执行漏洞安全风险通告

2021-03-30 19:36

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




风险通告



近日,奇安信CERT监测到Apache Druid官方发布安全更新,修复了 CVE-2021-26919 Apache Druid 远程代码执行漏洞。攻击者可通过构造恶意请求利用此漏洞,从而在目标服务器上执行任意代码。在默认情况下,该漏洞不需要认证即可触发。鉴于此漏洞影响较大,建议客户尽快自查修复。



当前漏洞状态



细节是否公开

PoC状态

EXP状态

在野利用

未知

未知

未知




漏洞描述

Druid是一个开源的分布式数据存储,旨在商业智能(在线分析处理,OLAP)的事件数据查询。Druid提供了低延迟(实时)数据提取,灵活的数据浏览和快速的数据聚合。

近日,奇安信CERT监测到Apache Druid官方发布安全更新,修复了 CVE-2021-26919 Apache Druid 远程代码执行漏洞。攻击者可通过构造恶意请求利用此漏洞,从而在目标服务器上执行任意代码。在默认情况下,该漏洞不需要认证即可触发。以下为漏洞复现截图,鉴于此漏洞影响较大,建议用户尽快自查修复。



风险等级


奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)



影响范围

Apache Druid < 0.20.2



处置建议

1、请参考以下链接尽快升级至安全版本(Apache Druid 0.20.2):

https://github.com/apache/druid/releases/tag/druid-0.20.2

2、缓解措施(添加授权认证):

  • 引入 druid-basic-security 扩展

    • druid.extensions.loadList=["druid-basic-security"]

  • 配置 Authenticator , Escalator , Authorizer

    • druid.auth.authenticatorChain=["kerberos", "basic"]

    • druid.escalator.type=basic

    • druid.auth.authorizers=["basic"]


更多详情请参照:

https://druid.apache.org/docs/latest/development/extensions-core/druid-basic-security.html



参考资料

https://github.com/apache/druid/releases/tag/druid-0.20.2



时间线

奇安信 CERT发布安全风险通告





奇安信CERT长期招募安全研究员

↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓



知识来源: https://mp.weixin.qq.com/s?__biz=MzU5NDgxODU1MQ==&mid=2247493223&idx=1&sn=2f2bf718eefac7a72403711b55999d8f

阅读:150658 | 评论:0 | 标签:漏洞 远程 执行 安全

想收藏或者和大家分享这篇好文章→复制链接地址

“【安全风险通告】Apache Druid远程代码执行漏洞安全风险通告”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

广而告之 💖

标签云 ☁