【漏洞详情】
Apache Druid 是用Java编写的面向列的开源分布式数据存储应用。近日,平安云安全中心监测到Apache Druid官方发布安全更新,修复了一个远程代码执行漏洞(CVE-2021-25646)。通过构造恶意请求可利用此漏洞在服务端执行任意代码,进而控制服务器,风险较大。
【风险评级】
高危
【影响范围】
l Apache Druid < 0.20.1
【修复建议】
官方已发布安全补丁,建议受影响的用户结合实际业务评估漏洞风险影响,可通过升级安全版本(0.20.1)避免安全风险。
加固方案:配置访问白名单等控制访问权限。
【参考链接】
https://github.com/apache/druid/releases/tag/druid-0.20.1
特别提醒:修复漏洞前请进行充分测试,并务必做好数据备份和快照,防止出现意外。
平安云
2021年2月2日