【風(fēng)險(xiǎn)通告】Apache Druid遠(yuǎn)程代碼執(zhí)行漏洞
2021-02-01 00:00:00
近日,金山云安全應(yīng)急響應(yīng)中心監(jiān)測到Apache Druid官方發(fā)布安全更新�,修復(fù)了1個(gè)遠(yuǎn)程代碼執(zhí)行漏洞,漏洞編號(hào)為CVE-2021-25646�。
建議Druid用戶盡快采取防護(hù)措施,避免遭受惡意攻擊��。
風(fēng)險(xiǎn)等級(jí)
高危
漏洞描述
Apache Druid 是用Java編寫的面向列的開源分布式數(shù)據(jù)存儲(chǔ)���,被廣泛應(yīng)用����。
Apache Druid 默認(rèn)情況下缺乏授權(quán)認(rèn)證�����,攻擊者可直接構(gòu)造惡意請(qǐng)求執(zhí)行任意代碼����,控制服務(wù)器,風(fēng)險(xiǎn)極大���。
影響版本
Apache Druid < 0.20.1
安全版本
Apache Druid 0.20.1
修復(fù)建議
升級(jí)至安全版本��。
參考鏈接
[1] https://github.com/apache/druid/releases/tag/druid-0.20.1
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2021/02/01