一、概要

近日，華為云關(guān)注到Apache Druid官方發(fā)布最新0.20.2版本，披露在Apache Druid 0.20.2之前的版本中存在一處遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-26919）。由于MySQL JDBC驅(qū)動程序支持某些屬性，攻擊者可以在Druid服務(wù)器進(jìn)程中從黑客控制的惡意MySQL服務(wù)器執(zhí)行任意代碼。

Apache Druid是一款開源分布式數(shù)據(jù)存儲系統(tǒng)。Druid旨在快速獲取大量事件數(shù)據(jù)，并在數(shù)據(jù)之上提供低延遲查詢。

華為云提醒使用Apache Druid的用戶及時安排自檢并做好安全加固。

參考鏈接：https://seclists.org/oss-sec/2021/q1/273

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急） 

三、漏洞影響范圍

影響版本：

Apache Druid < 0.20.2

安全版本：

Apache Druid 0.20.2

四、漏洞排查及處置

目前，官方已發(fā)布新版本修復(fù)了該漏洞，請受影響的用戶升級到安全版本：

https://github.com/apache/druid/releases/tag/druid-0.20.2

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。