【漏洞详情】

Apache Druid 是用Java编写的面向列的开源分布式数据存储应用。近日，平安云安全中心监测到Apache Druid官方发布安全更新，修复了一个远程代码执行漏洞(CVE-2021-26919)。由于系统在默认情况下缺乏授权认证，攻击者可直接构造恶意请求执行任意代码，进而控制服务器。

【风险评级】

高危

【影响范围】

l  Apache Druid < 0.20.2

【修复建议】

官方已发布安全版本，建议受影响的用户结合实际业务评估漏洞风险，可通过如下方案以避免安全风险。

1、升级至Apache Druid 0.20.2及以上版本；

2、为 Apache Druid 增加授权或设置仅对可信地址开放。

【参考链接】

https://github.com/apache/druid/releases/tag/druid-0.20.2

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2021年3月30日