一、漏洞详情

Apache Druid是针对时间序列数据提供的低延时数据写入以及快速交互式查询的分布式OLAP数据库。

近期监测到Apache Druid存在任意文件读取漏洞（CVE-2021-36749）。在Apache Druid中，InputSource是用于读取来自某个数据源的数据，但因对用户可控的HTTP InputSource限制不足，Apache Druid允许经过身份验证的用户以Druid服务器进程的权限从指定数据源读取数据，包括本地文件系统。又因Apache Druid默认情况下缺乏授权认证，攻击者可通过构造恶意请求实现在未授权的情况下读取目标系统任意文件，可导致系统敏感信息泄漏。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Apache Druid <= 0.21.1

三、修复建议

及时升级Apache Druid至最新安全版本：Apache Druid 0.22.0。

下载地址：https://druid.apache.org/downloads.html