Apache Druid远程代码执行漏洞(CVE-2021-26919)
发布时间 2021-03-300x00 漏洞概述
CVE ID | CVE-2021-26919 | 时 间 | 2021-03-30 |
类 型 | RCE | 等 级 | 中危 |
远程利用 | 是 | 影响范围 | Druid <= 0.20.1 |
PoC/EXP | 未公开 | 在野利用 |
0x01 漏洞详情
Apache Druid是专为大数据集的快速切片分析(OLAP查询)而设计的高性能分析数据库。
2021年03月29日,Apache官方发布安全公告,公开了Apache Druid中的一个远程代码执行漏洞(CVE-2021-26919)。
Druid 使用JDBC从其它数据库读取数据,此功能是为了让受信任的用户通过适当的权限来设置查找或提交提取任务。由于Apache Druid 默认情况下缺乏授权认证,攻击者可通过构造恶意请求执行任意代码,从而控制服务器。
0x02 处置建议
目前官方已修复了此漏洞,建议及时升级到Druid 0.20.2。
下载链接:
https://github.com/apache/druid/releases/tag/druid-0.20.2
0x03 参考链接
http://mail-archives.apache.org/mod_mbox/www-announce/202103.mbox/%3CCACZfFK6Va-CqhfDUPqPvqBCw8JsJwQ1xRe8JxeQbX5cRyi7qJg@mail.gmail.com%3E
https://github.com/apache/druid/releases/tag/druid-0.20.2
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26919
0x04 时间线
2021-03-29 Apache发布安全公告
2021-03-30 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/