各二级院(部)、处(室、中心、馆):

  Apache Druid 使用 Java 编写的面向列的开源分布式数据存储,用来提供低延迟数据查询,所以通常被用于商业智能应用程序中。

  Apache Druid 能够执行嵌入各种请求中的用户提供的JavaScript 代码。此功能旨在用于高信任度环境,默认情况下处于禁用状态。但是在 Druid 0.20.0 和更早版本中,经过身份验证的用户可以发送特制请求,攻击者通过构造特殊请求,发送到 Druid服务器,利用 Druid 服务器进程的进程在目标设备上远程执行代码。

  目前厂商已发布安全版本,请受影响用户及时下载更新(https://github.com/apache/druid/releases/tag/druid-0.20.1)。请各单位务必引起重视,立即梳理摸排单位系统资产,开展自查整改工作,确保将该问题隐患清零。

  各单位遇有相关安全问题,请及时与信息中心联系。

信息中心
2020年4月18日