安全通告
Apache Druid任意文件读取漏洞安全风险通告
发布日期:2021-11-19
漏洞描述
2021年11月19日,监测到一则Apache Druid 任意文件读取漏洞细节及EXP在互联网公开,攻击者可通过将文件 URL 传递给 HTTP InputSource 来绕过应用程序级别的限制。在Apache Druid 系统中,InputSource 用于从某个数据源读取数据。由于没有对用户可控的 HTTP InputSource 做限制,Apache Druid允许经过身份验证的用户以 Druid 服务器进程的权限从指定数据源读取数据,包括本地文件系统。攻击者可通过将文件 URL 传递给 HTTP InputSource 来绕过应用程序级别的限制。由于 Apache Druid 默认情况下缺乏授权认证,攻击者可构造恶意请求,在未授权情况下利用该漏洞读取任意文件,最终导致服务器敏感信息泄露。
目前,Apache官方已发布可更新版本,建议客户尽快自查修复。
漏洞编号
CVE-2021-36749
漏洞危害
攻击者可利用该漏洞在未授权情况下,构造恶意请求执行文件读取,最终造成服务器敏感性信息泄露。
漏洞等级
高危
受影响版本
Apache Druid < 0.22.0
修复方案
当前官方建议用户可以通过升级到 0.22.0 或更高版本来避免该问题。
参考链接
- https://druid.apache.org/downloads.html
- https://lists.apache.org/thread/nvsvcxdwy9wlq45qcml0j5bp9kl0d8f7