Apache Druid 远程代码执行漏洞(CVE-2021-26919)风险通告

2021-03-30 13:36:48
Apache Druid官方发布安全更新,修复了国内某安全团队上报的 Apache Druid 远程代码执行漏洞(CVE-2021-26919 ),腾讯安全专家建议受影响的用户尽快升级到安全版本。

Apache Druid官方发布安全更新,修复了国内某安全团队上报的 Apache Druid 远程代码执行漏洞(CVE-2021-26919 ),漏洞等级为“高危”,腾讯安全专家建议受影响的用户尽快升级到安全版本。

 

漏洞描述:

2021330日,Apache Druid官方发布安全更新,修复了 Apache Druid 远程代码执行漏洞。由于Apache Druid 默认情况下缺乏授权认证,攻击者可直接构造恶意请求执行任意代码,控制服务器。

 

Apache Druid 是用Java编写的面向列的开源分布式数据存储,旨在快速获取大量事件数据,并在数据之上提供低延迟查询。

 

漏洞编号:

CVE-2021-26919

 

漏洞等级:高危

 

受影响的版本:

Apache Druid < 0.20.2

 

安全版本:

Apache Druid 0.20.2

 

漏洞修复建议:

1、腾讯安全专家建议受影响的用户升级 Apache Druid 到安全版本。

2、为 Apache Druid 增加授权限制,设置 Apache Druid 仅对可信地址开放。

 

参考链接:

https://github.com/apache/druid/releases/tag/druid-0.20.2



扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。


最新资讯