CRITICAL🇬🇧 English

CVE-2025-59390

Apache Druid: słaby generator losowy umożliwia bypass uwierzytelnienia Kerberos

CVSS 9.8v3.1pub. 2025-11-26upd. 2025-12-04

Apache Druid używa kryptograficznie słabego generatora liczb losowych (ThreadLocalRandom) do tworzenia zapasowego sekretu podpisującego ciasteczka uwierzytelniające Kerberos, gdy parametr `druid.auth.authenticator.kerberos.cookieSignatureSecret` nie jest jawnie skonfigurowany. Pozwala to atakującemu na przewidzenie lub siłowe odgadnięcie sekretu, a w konsekwencji na sfałszowanie tokenów i ominięcie uwierzytelnienia.

Pokaż oryginał (EN)

Apache Druid’s Kerberos authenticator uses a weak fallback secret when the `druid.auth.authenticator.kerberos.cookieSignatureSecret` configuration is not explicitly set. In this case, the secret is generated using `ThreadLocalRandom`, which is not a crypto-graphically secure random number generator. This may allow an attacker to predict or brute force the secret used to sign authentication cookies, potentially enabling token forgery or authentication bypass. Additionally, each process generates its own fallback secret, resulting in inconsistent secrets across nodes. This causes authentication failures in distributed or multi-broker deployments, effectively leading to a incorrectly configured clusters. Users are advised to configure a strong `druid.auth.authenticator.kerberos.cookieSignatureSecret` This issue affects Apache Druid: through 34.0.0. Users are recommended to upgrade to version 35.0.0, which fixes the issue making it mandatory to set `druid.auth.authenticator.kerberos.cookieSignatureSecret` when using the Kerberos authenticator. Services will fail to come up if the secret is not set.

🤖 Analiza AI
Jak działa

Gdy administrator nie ustawi jawnie wartości `druid.auth.authenticator.kerberos.cookieSignatureSecret`, Apache Druid generuje sekret zastępczy przy użyciu klasy `ThreadLocalRandom`, która nie jest kryptograficznie bezpiecznym generatorem liczb pseudolosowych (brak CWE-338-bezpiecznej entropii). Atakujący może przewidzieć lub metodą brute force odtworzyć ten sekret, a następnie sfałszować podpisane ciasteczka uwierzytelniające. Dodatkowo każdy węzeł klastra generuje własny unikalny sekret zastępczy, co powoduje niespójność między węzłami, skutkując błędami uwierzytelniania w środowiskach rozproszonych i wielobrokerkowych.

Skutki

Atakujący zdalny, nieuwierzytelniony może sfałszować ciasteczka sesji i ominąć mechanizm uwierzytelniania Kerberos, uzyskując nieautoryzowany dostęp do klastra Apache Druid z pełnymi uprawnieniami. W środowiskach rozproszonych wadliwa konfiguracja może również powodować całkowitą niedostępność usługi.

Mitygacja

Należy zaktualizować Apache Druid do wersji 35.0.0, która wymusza obowiązkowe ustawienie parametru `druid.auth.authenticator.kerberos.cookieSignatureSecret` — usługi nie uruchomią się bez jego jawnej konfiguracji. Do czasu aktualizacji należy natychmiast ustawić silny, kryptograficznie losowy sekret jako wartość `druid.auth.authenticator.kerberos.cookieSignatureSecret` we wszystkich węzłach klastra.

Kogo dotyczy

Apache Druid we wszystkich wersjach do 34.0.0 włącznie, gdy używany jest authenticator Kerberos bez jawnie skonfigurowanego parametru `druid.auth.authenticator.kerberos.cookieSignatureSecret`

Uwagi

Podatność zgłoszona i opublikowana przez Apache Software Foundation w dniu 2025-11-26 za pośrednictwem listy dyskusyjnej Apache oraz listy oss-security.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Druid

    APP
    Apache
    < 35.0.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-23906CRITICAL9.8PL ✓ten sam produkt

Apache Druid – pominięcie uwierzytelnienia LDAP przez anonimowy bind

CVE-2021-26919HIGH8.8ten sam produkt

Apache Druid allows users to read data from other database systems using JDBC. This functionality is to allow ...

CVE-2021-25646HIGH8.8ten sam produkt

Apache Druid includes the ability to execute user-provided JavaScript code embedded in various types of reques...

CVE-2025-27888MEDIUM5.8ten sam produkt

Severity: medium (5.8) / important Server-Side Request Forgery (SSRF), Improper Neutralization of Input Durin...

CVE-2024-45384MEDIUM5.3ten sam produkt

Padding Oracle vulnerability in Apache Druid extension, druid-pac4j. This could allow an attacker to manipulat...