漏洞情报 | Apache Storm 命令注入漏洞

0x01 漏洞描述

Apache Storm是美国阿帕奇（Apache）软件基金会的一套采用Clojure（并发编程语言）开发的免费开源的分布式实时计算系统。

360漏洞云近日监测到 Apache 官方发布了一条安全公告，修复了一个命令注入漏洞（CVE-2021-38294）。该漏洞存在于Apache Storm中，攻击者可利用 getTopologyHistory 服务中存在的命令注入漏洞对 Nimbus 服务器发送特制的节俭请求，从而能够在身份验证之前对服务器进行远程代码执行。

0x02 危害等级

严重：9.8

0x03 影响版本

Apache Storm-Apache

>=1.X &&<1.2.4||>=2.1.X&&<2.1.1||>=2.2.X&&<2.1.1

0x04 修复建议

厂商已发布升级修复漏洞，用户请尽快更新至安全版本：

Apache Storm 2.2.x 用户应升级到版本 2.2.1 或 2.3.0 

Apache Storm 2.1.x 用户应升级到 2.1.1

Apache Storm 1.x 用户应升级到 1.2.4 

与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

参考链接：

https://storm.apache.org/downloads.html