【漏洞详情】

Apache Druid 是用Java编写的面向列的开源分布式数据存储应用。近日，平安云安全中心监测到Apache Druid官方发布安全更新，修复了一个远程代码执行漏洞（CVE-2021-25646）。通过构造恶意请求可利用此漏洞在服务端执行任意代码，进而控制服务器，风险较大。

【风险评级】

高危

【影响范围】

l  Apache Druid < 0.20.1

【修复建议】

官方已发布安全补丁，建议受影响的用户结合实际业务评估漏洞风险影响，可通过升级安全版本(0.20.1)避免安全风险。

加固方案：配置访问白名单等控制访问权限。

【参考链接】

https://github.com/apache/druid/releases/tag/druid-0.20.1

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2021年2月2日