一、概要
近日,基調(diào)聽云關(guān)注到Apache Druid存在任意文件讀取漏洞(CVE-2021-36749)。由于沒有對用戶可控的 HTTP InputSource 做限制,允許通過身份驗證的用戶從指定數(shù)據(jù)源讀取數(shù)據(jù)。又因Apache Druid本身默認情況下就缺乏授權(quán)認證,故攻擊者可以構(gòu)造惡意請求,在未授權(quán)的情況下利用該漏洞讀取系統(tǒng)任意文件,導致服務器敏感信息泄露。
Apache Druid是一款開源分布式的支持實時分析的數(shù)據(jù)存儲系統(tǒng)。華為云提醒使用Apache Druid的用戶及時安排自檢并做好安全加固。
二、威脅級別
威脅級別:【嚴重】
三、CVSS評分
CVE-2021-36749 9.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
四、漏洞影響范圍
影響版本:
Apache Druid < 0.22.0
安全版本:
Apache Druid >= 0.22.0
五、漏洞排查及處置
目前,基調(diào)聽云已發(fā)布新補丁修復了該漏洞,請受影響的用戶聯(lián)系相應的技術(shù)支持升級到安全版本。