漏洞情報 | Apache Storm 命令注入漏洞

0x01 漏洞描述

Apache Storm是美國阿帕奇（Apache）軟件基金會的一套采用Clojure（并發編程語言）開發的免費開源的分布式實時計算系統。

360漏洞云近日監測到 Apache 官方發布了一條安全公告，修復了一個命令注入漏洞（CVE-2021-38294）。該漏洞存在于Apache Storm中，攻擊者可利用 getTopologyHistory 服務中存在的命令注入漏洞對 Nimbus 服務器發送特制的節儉請求，從而能夠在身份驗證之前對服務器進行遠程代碼執行。

0x02 危害等級

嚴重：9.8

0x03 影響版本

Apache Storm-Apache

>=1.X &&<1.2.4||>=2.1.X&&<2.1.1||>=2.2.X&&<2.1.1

0x04 修復建議

廠商已發布升級修復漏洞，用戶請盡快更新至安全版本：

Apache Storm 2.2.x 用戶應升級到版本 2.2.1 或 2.3.0 

Apache Storm 2.1.x 用戶應升級到 2.1.1

Apache Storm 1.x 用戶應升級到 1.2.4 

與此同時，請做好資產自查以及預防工作，以免遭受黑客攻擊。

參考鏈接：

https://storm.apache.org/downloads.html