Apache Druid 安全漏洞

CNNVD-ID编号	CNNVD-202109-1676	CVE编号	CVE-2021-36749
发布时间	2021-09-24	更新时间	2021-09-26
漏洞类型	其他	漏洞来源	N/A
危险等级	N/A	威胁类型	本地
厂商	N/A

漏洞介绍

Apache Druid是美国阿帕奇（Apache）基金会的一款使用Java语言编写的、面向列的开源分布式数据库。 Apache Druid 存在安全漏洞，该漏洞源于在 Druid ingestion system 中，InputSource 用于从某个数据源读取数据。但是，HTTP InputSource 允许经过身份验证的用户以 Druid 服务器进程的权限从其他来源读取数据，例如本地文件系统。这不是用户直接访问 Druid 时的权限提升，因为 Druid 还提供了 Local InputSource，它允许相同级别的访问。但是当用户通过允许用户指定 HTTP InputSource 而不是 Local InputSource 的应用程序间接与 Druid 交互时，这是有问题的。在这种情况下，用户可以通过将文件 URL 传递给 HTTP InputSource 来绕过应用程序级别的限制。

漏洞补丁

目前厂商已发布升级了Apache Druid 安全漏洞的补丁，Apache Druid 安全漏洞的补丁获取链接： https://lists.apache.org/thread.html/rc9400a70d0ec5cdb8a3486fc5ddb0b5282961c0b63e764abfbcb9f5d%40%3Cdev.druid.apache.org%3E