安全通告

Apache Druid任意文件读取漏洞安全风险通告

发布日期：2021-11-19

漏洞描述

2021年11月19日，监测到一则Apache Druid 任意文件读取漏洞细节及EXP在互联网公开，攻击者可通过将文件 URL 传递给 HTTP InputSource 来绕过应用程序级别的限制。在Apache Druid 系统中，InputSource 用于从某个数据源读取数据。由于没有对用户可控的 HTTP InputSource 做限制，Apache Druid允许经过身份验证的用户以 Druid 服务器进程的权限从指定数据源读取数据，包括本地文件系统。攻击者可通过将文件 URL 传递给 HTTP InputSource 来绕过应用程序级别的限制。由于 Apache Druid 默认情况下缺乏授权认证，攻击者可构造恶意请求，在未授权情况下利用该漏洞读取任意文件，最终导致服务器敏感信息泄露。

目前，Apache官方已发布可更新版本，建议客户尽快自查修复。

漏洞编号

CVE-2021-36749

漏洞危害

攻击者可利用该漏洞在未授权情况下，构造恶意请求执行文件读取，最终造成服务器敏感性信息泄露。

漏洞等级

高危
受影响版本

Apache Druid < 0.22.0

修复方案

当前官方建议用户可以通过升级到 0.22.0 或更高版本来避免该问题。

参考链接

• https://druid.apache.org/downloads.html
• https://lists.apache.org/thread/nvsvcxdwy9wlq45qcml0j5bp9kl0d8f7