在Apache Cassandra資料庫軟體中報告高嚴重性RCE安全漏洞
研究人員披露了Apache Cassandra一個現已修補的高嚴重性安全漏洞的細節,如果這個漏洞得不到解決,可能會被濫用來獲取受影響安裝的遠端程式碼執行(RCE)。
DevOps公司JFrog的安全研究員在週二發表的一篇技術文章中稱:“Apach的這個安全漏洞很容易被利用,有可能對系統造成嚴重破壞,但幸運的是,它只在Cassandra的非預設配置中出現。”
Apache Cassandra是一個開源的、分散式的NoSQL資料庫管理系統,用於管理跨商品伺服器的大量結構化資料。
該漏洞被跟蹤為CVE-2021-44521 (CVSS得分:8.4),該漏洞涉及一個特定的場景,其中使用者定義函式(udf)的配置被啟用,有效地允許攻擊者利用Nashorn JavaScript引擎,逃離沙箱,並實現不可信程式碼的執行。
具體來說,我們發現Cassandra部署易受CVE-2021-44521的攻擊。Yaml配置檔案包含以下定義:
enable_user_defined_functions:真
enable_scripted_user_defined_functions:真
enable_user_defined_functions_threads:假
“當[enable_user_defined_functions_threads]選項設定為false,所有UDF呼叫函式在卡珊德拉守護執行緒執行,安全經理一些許可權,“Kaspi說,從而允許敵人禁用安全沙箱的經理和突破和在伺服器上執行任意shell命令。
Apache Cassandra使用者建議升級到版本3.0.26,3.11.12和4.0.2,以避免漏洞可能的利用,它透過新增一個新的標誌“allow_extra_insecure_udfs”來解決這個缺陷,該標誌預設設定為false,並防止關閉安全管理器。
“潛伏”在軟體中的漏洞為駭客提供了破壞網路及資料的“捷徑”。資料顯示,90%以上的網路安全事件是由軟體自身安全漏洞被利用導致的,可以說,不安全的軟體大大提高了網路系統遭到攻擊的風險。
透過安全可信的自動化 靜態程式碼檢測工具能有效減少30-70%的安全漏洞!諸如緩衝區溢位漏洞、注入漏洞及XSS等。此外靜態程式碼檢測有助於開發人員第一時間發現並修正程式碼缺陷,這將為開發人員節省大量時間,同時也能降低企業維護安全問題的成本。
文章來源:
https://thehackernews.com/2022/02/high-severity-rce-security-bug-reported.html
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2856115/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- Java的Fastjson庫爆高嚴重性RCE漏洞JavaASTJSON
- Chrome瀏覽器爆高嚴重性安全漏洞Chrome瀏覽器
- 在 Apache Cassandra 中定義和最佳化資料分割槽Apache
- 思科IP電話存嚴重RCE漏洞!
- Apache Cassandra 的 Spring 資料ApacheSpring
- H2資料庫控制檯發現log4shell型別的嚴重RCE漏洞資料庫型別
- 謹防軟體供應鏈攻擊!軟體設計管理平臺Atlassian中嚴重的Jira缺陷可能導致RCE
- 把Apache Cassandra作為雲資料庫的評估Apache資料庫
- Cassandra資料庫資料庫
- 不尋常的 1 月更新:NSA 首次向微軟報告 Windows 的嚴重安全漏洞微軟Windows
- Rails框架再爆嚴重安全漏洞AI框架
- 從Gartner報告看中國資料庫:差距雖在,“狼性”凸顯資料庫
- 資料庫圈周盤點:報告指出集中式資料庫在金融業總體佔比仍高達 89%資料庫
- 詳訊:微軟承認Outlook中存在嚴重安全漏洞 (轉)微軟
- Linux Glibc庫嚴重安全漏洞修復(詳細過程)Linux
- 軟體測試報告包含哪些內容?如何獲取高質量軟體測試報告?測試報告
- 什麼是Cassandra資料庫資料庫
- 微軟將在資料庫軟體中增加對java的支援 (轉)微軟資料庫Java
- 軟體管理報告:安全勢在必行
- 楊元慶:業記憶體在嚴重資料造假 急需改善誠信問題記憶體
- Oracle資料庫中convert()函式,在瀚高資料庫中如何替換使用?Oracle資料庫函式
- MySQL資料庫中timediff()函式,在瀚高資料庫中如何替換使用?MySql資料庫函式
- linux安裝Cassandra資料庫Linux資料庫
- 非關係型資料庫:Cassandra資料庫
- SqlServer資料庫資料恢復報告SQLServer資料庫資料恢復
- 東方通中介軟體Tongweb適配瀚高資料庫Web資料庫
- 軟體專案可行性研究報告(轉)
- CISA警告3個工業控制系統軟體中存在嚴重漏洞
- 資料庫高可用性簡史資料庫
- 備份mysql資料庫報告MySql資料庫
- 「勢說新語」SBOM 在企業軟體供應鏈管理中的重要性—安全漏洞篇
- Oracle中的sql%rowcount在瀚高資料庫中的相容方案OracleSQL資料庫
- 【軟考】--重識資料庫設計資料庫
- 轉享:在ubuntu 和 debian上安裝 NOSQL cassandra資料庫UbuntuSQL資料庫
- 技術基礎 | 在Apache Cassandra中改變VNodes數量的影響Apache
- 資料庫安全漏洞淺析資料庫
- MySQL資料庫的高可用性分析MySql資料庫
- 資訊洩露、DNS快取中毒!版本低於4.3的NicheStack受高嚴重安全漏洞影響DNS快取