Apache Druid官方发布安全更新,修复了国内某安全团队上报的 Apache Druid 远程代码执行漏洞(CVE-2021-26919 ),漏洞等级为“高危”,腾讯安全专家建议受影响的用户尽快升级到安全版本。
漏洞描述:
2021年3月30日,Apache Druid官方发布安全更新,修复了 Apache Druid 远程代码执行漏洞。由于Apache Druid 默认情况下缺乏授权认证,攻击者可直接构造恶意请求执行任意代码,控制服务器。
Apache Druid 是用Java编写的面向列的开源分布式数据存储,旨在快速获取大量事件数据,并在数据之上提供低延迟查询。
漏洞编号:
CVE-2021-26919
漏洞等级:高危
受影响的版本:
Apache Druid < 0.20.2
安全版本:
Apache Druid 0.20.2
漏洞修复建议:
1、腾讯安全专家建议受影响的用户升级 Apache Druid 到安全版本。
2、为 Apache Druid 增加授权限制,设置 Apache Druid 仅对可信地址开放。
参考链接:
https://github.com/apache/druid/releases/tag/druid-0.20.2
扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。