Apache Druid w wersjach 0.17.0–35.x (przy włączonej integracji LDAP) zawiera krytyczną podatność auth bypass, która pozwala nieuwierzytelnionemu atakującemu uzyskać dostęp do klastra poprzez podanie istniejącej nazwy użytkownika z pustym hasłem. Skuteczne wykorzystanie umożliwia pełne przejęcie kontroli nad środowiskiem Druid.
▸ Pokaż oryginał (EN)
Affected Products and Versions * Apache Druid * Affected Versions: 0.17.0 through 35.x (all versions prior to 36.0.0) * Prerequisites: * druid-basic-security extension enabled * LDAP authenticator configured * Underlying LDAP server permits anonymous bind Vulnerability Description An authentication bypass vulnerability exists in Apache Druid when using the druid-basic-security extension with LDAP authentication. If the underlying LDAP server is configured to allow anonymous binds, an attacker can bypass authentication by providing an existing username with an empty password. This allows unauthorized access to otherwise restricted Druid resources without valid credentials. The vulnerability stems from improper validation of LDAP authentication responses when anonymous binds are permitted, effectively treating anonymous bind success as valid user authentication. Impact A remote, unauthenticated attacker can: * Gain unauthorized access to the Apache Druid cluster * Access sensitive data stored in Druid datasources * Execute queries and potentially manipulate data * Access administrative interfaces if the bypassed account has elevated privileges * Completely compromise the confidentiality, integrity, and availability of the Druid deployment Mitigation Immediate Mitigation (No Druid Upgrade Required): * Disable anonymous bind on your LDAP server. This prevents the vulnerability from being exploitable and is the recommended immediate action. Resolution * Upgrade Apache Druid to version 36.0.0 or later, which includes fixes to properly reject anonymous LDAP bind attempts.
Podatność wynika z nieprawidłowej walidacji odpowiedzi serwera LDAP w rozszerzeniu druid-basic-security, gdy serwer LDAP jest skonfigurowany tak, by dopuszczać anonimowe połączenia (anonymous bind). Atakujący wysyła żądanie uwierzytelnienia z poprawną nazwą istniejącego konta oraz pustym hasłem. Apache Druid błędnie interpretuje sukces anonimowego bind jako potwierdzenie tożsamości użytkownika i przyznaje dostęp bez weryfikacji rzeczywistych poświadczeń. Atak jest możliwy wyłącznie, gdy jednocześnie włączone jest rozszerzenie druid-basic-security, skonfigurowany jest LDAP authenticator oraz serwer LDAP zezwala na anonimowy bind.
Zdalny, nieuwierzytelniony atakujący może uzyskać nieautoryzowany dostęp do klastra Apache Druid, odczytywać wrażliwe dane ze źródeł danych, wykonywać i potencjalnie manipulować zapytaniami, a w przypadku kont z podwyższonymi uprawnieniami — przejąć pełną kontrolę nad środowiskiem, naruszając poufność, integralność i dostępność całego wdrożenia.
Natychmiastowe działanie (bez konieczności aktualizacji Druid): wyłączyć obsługę anonimowego bind na serwerze LDAP — eliminuje to możliwość wykorzystania podatności. Docelowe rozwiązanie: zaktualizować Apache Druid do wersji 36.0.0 lub nowszej, która zawiera poprawkę odrzucającą anonimowe próby bind na poziomie aplikacji.
Apache Druid w wersjach 0.17.0 do 35.x (wszystkie wersje wcześniejsze niż 36.0.0), przy spełnieniu następujących warunków: włączone rozszerzenie druid-basic-security, skonfigurowany LDAP authenticator oraz serwer LDAP zezwalający na anonimowy bind.
Podatność wymaga łącznego spełnienia trzech warunków środowiskowych (druid-basic-security, LDAP authenticator, anonymous bind na serwerze LDAP). Wyłączenie anonimowego bind po stronie serwera LDAP jest skutecznym obejściem niewymagającym natychmiastowej aktualizacji Druid.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Druid
APPApache0.17.0 – 36.0.0 (bez)
Powiązane podatności
Apache Druid: słaby generator losowy umożliwia bypass uwierzytelnienia Kerberos
Apache Druid allows users to read data from other database systems using JDBC. This functionality is to allow ...
Apache Druid includes the ability to execute user-provided JavaScript code embedded in various types of reques...
Severity: medium (5.8) / important Server-Side Request Forgery (SSRF), Improper Neutralization of Input Durin...
Padding Oracle vulnerability in Apache Druid extension, druid-pac4j. This could allow an attacker to manipulat...