盗墓笔记第二季,完结小说排行榜,怎样写网络小说

【漏洞通告】Apache Druid任意文件讀取漏洞安全風險通告（CVE-2021-36749）

安全通告

Apache Druid任意文件讀取漏洞安全風險通告

發(fā)布日期：2021-11-19

漏洞描述

2021年11月19日，監(jiān)測到一則Apache Druid 任意文件讀取漏洞細節(jié)及EXP在互聯(lián)網公開，攻擊者可通過將文件 URL 傳遞給 HTTP InputSource 來繞過應用程序級別的限制。在Apache Druid 系統(tǒng)中，InputSource 用于從某個數據源讀取數據。由于沒有對用戶可控的 HTTP InputSource 做限制，Apache Druid允許經過身份驗證的用戶以 Druid 服務器進程的權限從指定數據源讀取數據，包括本地文件系統(tǒng)。攻擊者可通過將文件 URL 傳遞給 HTTP InputSource 來繞過應用程序級別的限制。由于 Apache Druid 默認情況下缺乏授權認證，攻擊者可構造惡意請求，在未授權情況下利用該漏洞讀取任意文件，最終導致服務器敏感信息泄露。

目前，Apache官方已發(fā)布可更新版本，建議客戶盡快自查修復。

漏洞編號

CVE-2021-36749

漏洞危害

攻擊者可利用該漏洞在未授權情況下，構造惡意請求執(zhí)行文件讀取，最終造成服務器敏感性信息泄露。

漏洞等級

高危
受影響版本

Apache Druid < 0.22.0

修復方案

當前官方建議用戶可以通過升級到 0.22.0 或更高版本來避免該問題。

參考鏈接

https://druid.apache.org/downloads.html
https://lists.apache.org/thread/nvsvcxdwy9wlq45qcml0j5bp9kl0d8f7

漏洞播報

【漏洞通告】Apache Druid任意文件讀取漏洞安全風險通告（CVE-2021-36749）

聯(lián)系我們：cert@chaosec.com