开源分布式数据库发现远程代码执行漏洞,建议立即升级
Apache Druid 是一款广泛使用的高性能、基于 Java 的列式开源分布式数据存储系统,专注于快速处理大量事件数据并在数据之上提供低延迟查询能力。
3月30日,Druid 官方发布安全补丁,修复了影响远程代码执行的漏洞。以下为相关要点:
漏洞详情
CVE-2021-26919 严重程度:高危
该漏洞的原因在于默认未启用授权认证,攻击者可通过构造恶意请求执行任意代码,从而控制服务器,风险极高。
受影响版本
Apache Druid < 0.20.2
解决方案
官方已发布修复补丁,建议将 Druid 升级至 0.20.2 版本及以上以解决此问题。
安全建议:
1、升级 Druid 至安全版本及其以上。
2、为 Druid 增加授权认证机制。
