概述
Apache Druid的Kerberos认证器在druid.auth.authenticator.kerberos.cookieSignatureSecret配置未显式设置时,使用弱回退密钥。这种情况下,密钥使用ThreadLocalRandom生成,这不是密码学安全的随机数生成器。
漏洞描述
此漏洞可能允许攻击者预测或暴力破解用于签名认证cookie的密钥,可能导致令牌伪造或认证绕过。此外,每个进程生成自己的回退密钥,导致节点间密钥不一致。这在分布式或多代理部署中导致认证失败,实际上导致集群配置错误。
此问题影响Apache Druid至34.0.0版本。
建议用户升级到35.0.0版本,该版本修复了此问题,在使用Kerberos认证器时强制设置druid.auth.authenticator.kerberos.cookieSignatureSecret。如果未设置密钥,服务将无法启动。
漏洞信息
- 发布日期:2025年11月26日上午9:15
- 最后修改:2025年11月26日下午3:15
- 远程利用:是
- 信息来源:security@apache.org
受影响产品
| ID | 供应商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Apache | druid |
总计受影响供应商:1 | 产品:1
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 9.8 | CVSS 3.1 | 严重 | 3.9 | 5.9 | 134c704f-9b21-4f2e-91b3-4a467353bcc0 |
解决方案
配置强密钥或升级到35.0.0版本以修复弱cookie签名问题。
- 显式设置
druid.auth.authenticator.kerberos.cookieSignatureSecret - 将Apache Druid升级到35.0.0或更高版本
参考资源
| URL | 资源 |
|---|---|
| https://lists.apache.org/thread/jwjltllnntgj1sb9wzsjmvwm9f8rlhg8 | |
| http://www.openwall.com/lists/oss-security/2025/11/26/1 |
CWE - 常见弱点枚举
CWE-338:使用密码学弱伪随机数生成器(PRNG)
漏洞历史记录
CVE修改 by 134c704f-9b21-4f2e-91b3-4a467353bcc0 - 2025年11月26日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | CVSS V3.1 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
新CVE接收 by security@apache.org - 2025年11月26日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | Apache Druid的Kerberos认证器使用弱回退密钥… | |
| 添加 | CWE | CWE-338 | |
| 添加 | 参考 | https://lists.apache.org/thread/jwjltllnntgj1sb9wzsjmvwm9f8rlhg8 |
CVE修改 by af854a3a-2127-422b-91ae-364da2661108 - 2025年11月26日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 参考 | http://www.openwall.com/lists/oss-security/2025/11/26/1 |