Apache Druid LoadData存在任意文件讀取漏洞
  • CNNVD編號(hào):CNVD-2021-89547
  • 危害等級(jí): 中危 
  • CVE編號(hào):CVE-2021-36749
  • 漏洞類型: 通用型漏洞
  • 威脅類型:未知
  • 廠       商:未知
  • 漏洞來(lái)源:國(guó)家信息安全漏洞共享平臺(tái)
  • 發(fā)布時(shí)間:2021-11-23
  • 更新時(shí)間:2021-11-23

漏洞簡(jiǎn)介

Apache Druid是美國(guó)阿帕奇(Apache)基金會(huì)的一款使用Java語(yǔ)言編寫(xiě)的、面向列的開(kāi)源分布式數(shù)據(jù)庫(kù)。

Apache Druid存在安全漏洞,該漏洞源于在 Druid ingestion system 中,InputSource用于從某個(gè)數(shù)據(jù)源讀取數(shù)據(jù)。但是,HTTP InputSource 允許經(jīng)過(guò)身份驗(yàn)證的用戶以 Druid 服務(wù)器進(jìn)程的權(quán)限從其他來(lái)源讀取數(shù)據(jù),例如本地文件系統(tǒng)。 這不是用戶直接訪問(wèn) Druid 時(shí)的權(quán)限提升,因?yàn)?Druid 還提供了Local InputSource,它允許相同級(jí)別的訪問(wèn)。 但是當(dāng)用戶通過(guò)允許用戶指定 HTTP InputSource 而不是 Local InputSource 的應(yīng)用程序間接與 Druid 交互時(shí),這是有問(wèn)題的。 在這種情況下,用戶可以通過(guò)將文件 URL 傳遞給 HTTP InputSource 來(lái)繞過(guò)應(yīng)用程序級(jí)別的限制。目前沒(méi)有詳細(xì)的漏洞細(xì)節(jié)提供。

漏洞公示

在發(fā)布漏洞公告信息之前,CNVD都力爭(zhēng)保證每條公告的準(zhǔn)確性和可靠性。然而,采納和實(shí)施公告中的建議則完全由用戶自己決定,其可能引起的問(wèn)題和結(jié)果也完全由用戶承擔(dān)。是否采納我們的建議取決于您個(gè)人或您企業(yè)的決策,您應(yīng)考慮其內(nèi)容是否符合您個(gè)人或您企業(yè)的安全策略和流程。

受影響實(shí)體

Apache Druid <0.22.0