【漏洞预警】Apache Druid 远程代码执行漏洞(CVE-2021-26919)

2021年3月30日,Apache Druid官方发布安全更新,修复了由蚂蚁安全非攻实验室 @fantasyC4t 上报的 CVE-2021-26919 Apache Druid 远程代码执行漏洞。


漏洞描述

Apache Druid 是用Java编写的面向列的开源分布式数据存储,旨在快速获取大量事件数据,并在数据之上提供低延迟查询。2021年3月30日,Apache Druid官方发布安全更新,修复了 CVE-2021-26919 Apache Druid 远程代码执行漏洞。由于Apache Druid 默认情况下缺乏授权认证,攻击者可直接构造恶意请求执行任意代码,控制服务器,风险极大,阿里云应急响应中心提醒 Apache Druid 用户尽快排查服务器是否受影响并采取安全措施阻止漏洞攻击。


漏洞评分

高危


影响版本

Apache Druid < 0.20.2


安全版本

Apache Druid 0.20.2


安全建议

1、升级 Apache Druid 至安全版本及其以上。

2、为 Apache Druid 增加授权。

3、利用阿里云安全组功能,设置 Apache Druid 仅对可信地址开放。


相关链接

https://github.com/apache/druid/releases/tag/druid-0.20.2



云盾WAF已可防护该类漏洞,并提供7天免费漏洞应急服务,为您争取漏洞修复时间,应急开通地址:https://c.tb.cn/I3.XzCtR

阿里云云安全中心应急漏洞模块已支持对该漏洞一键检测
阿里云云防火墙已可防御此漏洞攻击


我们会关注后续进展,请随时关注官方公告。

如有任何问题,可随时通过工单或服务电话95187联系反馈。

阿里云应急响应中心

2021.03.30

欢迎关注阿里云应急响应公众号

本文来源于: https://xz.aliyun.com/t/9380

相关推荐

小白对彩虹猫的简单分析

C++编写的,未加壳 在虚拟机跑了一下,观察了一下执行效果,用微步在线分析了一下。 创建了8个进程,目前我们还不太清楚这些进程做了什么事情 现在我们直接IDA分析,进入main函数 大致含义是根据参数来判断执行流程,如果参数小于等于1

Java安全之Fastjson反序列化漏洞分析

0x00 前言 在前面的RMI和JNDI注入学习里面为本次的Fastjson打了一个比较好的基础。利于后面的漏洞分析。 0x01 Fastjson使用 在分析漏洞前,还需要学习一些Fastjson库的简单使用。 Fastjson概述 Fas

java反序列化知识总结和一些ctf的例题

java反序列化知识总结和一些ctf的例题 反序列化知识: 对于web手来说,php的反序列化一定不陌生,php的反序列化一般关注的就是魔术方法的调用和动态函数的执行这些,在java这里对参数类型这些要求严格,所以不能像php那么轻松的挖掘

使用 CVE-2020-2555 攻击 Shiro

前言 前段时间项目上遇到一个部署在 Weblogic 上存在漏洞的 Shiro 应用,于是参照 Y4er 师傅的文章 《使用WebLogic CVE-2020-2883配合Shiro rememberMe反序列化一键注入蚁剑shell》 的

【漏洞预警】ntopng 权限绕过与任意代码执行漏洞(CVE-2021-28073/CVE-2021-28074)

2021年3月24日,阿里云应急响应中心监测到国内某安全团队公开披露 ntopng 权限绕过与任意代码执行漏洞,其CVE号为 CVE-2021-28073、CVE-2021-28074。 漏洞描述 ntopng是一款基于Web的流量分析

【漏洞预警】VMware vRealize Operations Manager SSRF与文件写入漏洞

2021年3月31日,阿里云应急响应中心监测到 VMware 官方发布安全公告,披露了CVE-2021-21975 VMware vRealize Operations Manager API SSRF 和 CVE-2021-21983 V

Internet Explorer漏洞分析(四)——CVE-2016-0199

0x01 漏洞信息 0x01.1 漏洞简述 编号:CVE-2016-0199 类型:类型混淆(Type Confusion) 漏洞影响:远程代码执行(RCE)/拒绝服务攻击 (DoS) CVSS 2.0:9.3 mshtml.dll组件在将

Jackson-databind漏洞两则分析

文章前言 本篇文章将对CVE-2020-36189(Jackson-databind SSRF&RCE)漏洞和CVE-2020-36186(jackson-databind RCE)漏洞进行浅析,同时将在文末给出两则新的Gadget !!!

Apache OFBiz RMI反序列化远程代码执行漏洞(CVE-2021-26295)

Author: 析安实验室(ZionLab) 漏洞分析 官网获取最新版本 https://ofbiz.apache.org/download.html 发现新版本对 .\framework\base\src\main\java\org\ap

fofa爬虫 + 源码泄露PoC之梦幻联动(有福利)

写在前面 相信大家一定对源码泄露并不陌生,这里也不赘述这个漏洞的原理和危害了,网上一搜也都有好多好多,看都看不完~~~ 那今天这里我们讲啥呢?那就直入主题吧~今天这里我就贴出我自己参考的加上自己写的fofa爬虫 + 源码泄露PoC之梦幻联动

PHP的无参数RCE

PHP无参数RCE 因为先前只是参照大佬的payload解题,从未自己本地复现过,索性借复习的机会,在本地搭建并尝试。 题目: GXYCTF2019—禁止套娃 [极客大挑战 2020]Roamphp4-Rceme 限制条件: /[^\W]+