关于apache druid远程代码执行漏洞的预警通告-z6尊龙平台

 关于apache druid远程代码执行漏洞的预警通告-z6尊龙平台
当前位置: z6尊龙平台首页 > 风险预警 > 预警通报 > 正文

关于apache druid远程代码执行漏洞的预警通告

【来源: | 发布日期:2023-04-20 】

一、事件描述

近日,广西教育系统网络安全监测中心监测到360漏洞云发布了关于apache druid存在远程代码执行漏洞的预警通知。研究人员发现,apache druid截至目前的全版本都受到之前apache kafka connect jndi注入漏洞(cve-2023-25194)的影响,导致攻击者可以利用该漏洞在apache druid服务器中触发远程代码执行漏洞。

二、影响范围

apache druid全版本

三、漏洞等级

广西教育系统网络安全监测中心将该漏洞评级为高危

四、安全建议

截止目前,暂无官方修复方案。

临时防护方案:

1.为apache druid设置认证配置。


参考官方文档:https://druid.apache.org/docs/latest/development/extensions-core/druid-basic-security.html

2.尽量不要将apache druid暴露在公网。

3.限制apache druid服务器连接外网。


网站地图