一、概要

近日，華為云關(guān)注到Apache Druid官方發(fā)布最新0.20.1版本，披露在Apache Druid 0.20.1之前的版本中存在一處遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-25646）。在默認(rèn)情況下運(yùn)行用戶提供的JavaScript代碼缺乏授權(quán)認(rèn)證，攻擊者可以構(gòu)造惡意的請(qǐng)求來(lái)實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

Apache Druid是一款開源分布式數(shù)據(jù)存儲(chǔ)系統(tǒng)。Druid旨在快速獲取大量事件數(shù)據(jù)，并在數(shù)據(jù)之上提供低延遲查詢。

華為云提醒使用Apache Druid的用戶及時(shí)安排自檢并做好安全加固。

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急） 

三、漏洞影響范圍

影響版本：

Apache Druid < 0.20.1

安全版本：

Apache Druid 0.20.1

四、漏洞排查及處置

目前，官方已發(fā)布新版本修復(fù)了該漏洞，請(qǐng)受影響的用戶升級(jí)到安全版本：

https://github.com/apache/druid/releases/tag/druid-0.20.1

華為云WAF具備對(duì)該漏洞防御能力。華為云WAF用戶將“Web基礎(chǔ)防護(hù)”狀態(tài)設(shè)置為“攔截”模式，具體方法請(qǐng)參見配置Web基礎(chǔ)防護(hù)規(guī)則。

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。