Apache Druid任意文件讀取漏洞（CVE-2021-36749）

2021-11-22

一、概要

近日，華為云關(guān)注到Apache Druid任意文件讀取漏洞（CVE-2021-36749）細節(jié)和Exp在互聯(lián)網(wǎng)上被公開。由于沒有對用戶可控的 HTTP InputSource 做限制，允許通過身份驗證的用戶從指定數(shù)據(jù)源讀取數(shù)據(jù)。又因Apache Druid本身默認情況下就缺乏授權(quán)認證，故攻擊者可以構(gòu)造惡意請求，在未授權(quán)的情況下利用該漏洞讀取系統(tǒng)任意文件，導(dǎo)致服務(wù)器敏感信息泄露。

Apache Druid是一款開源分布式的支持實時分析的數(shù)據(jù)存儲系統(tǒng)。華為云提醒使用Apache Druid的用戶及時安排自檢并做好安全加固。

參考鏈接：https://lists.apache.org/thread/nvsvcxdwy9wlq45qcml0j5bp9kl0d8f7

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急） 

三、漏洞影響范圍

影響版本：

Apache Druid < 0.22.0

安全版本：

Apache Druid >= 0.22.0

四、漏洞排查及處置

目前，官方已發(fā)布新版本修復(fù)了該漏洞，請受影響的用戶升級到安全版本：

https://github.com/apache/druid/tags

華為云WAF具備對該漏洞防御能力。華為云WAF用戶將“Web基礎(chǔ)防護”狀態(tài)設(shè)置為“攔截”模式，具體方法請參見配置Web基礎(chǔ)防護規(guī)則。

注：修復(fù)漏洞前請將資料備份，并進行充分測試。