安全狗漏洞通告|Apache Cassandra远程代码执行漏洞

最新推荐文章于 2024-09-02 08:30:00 发布
最新推荐文章于 2024-09-02 08:30:00 发布
阅读量1k 收藏 1
点赞数
分类专栏: 安全狗 文章标签: 安全 web安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bocco/article/details/122947133
版权

近日,安全狗应急响应中心监测Apache Cassandra被露出远程代码执行漏洞,漏洞编号CVE-2021-44521,可导致恶意用户远程代码执行等危害。

为避免您的业务受影响,安全狗建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞描述

Apache Cassandra是Apache基金会的一个分布式Nosql数据库。Cassandra是一个混合型的非关系的数据库,类似于Google的BigTable,具有可扩展性和高可用性,并被数千家拥有大量活动数据集的公司使用。

当使用以下不安全的配置运行Apache Cassandra时:

enable_user_defined_functions:true

enable_scripted_user_defined_functions:true

enable_user_defined_functions_threads:false

可能导致攻击者在主机上执行任意代码,但攻击者需要有足够的权限来创建用户定义函数才能够利用此漏洞。

安全通告信息

漏洞名称

Apache Cassandra远程代码执行漏洞

漏洞影响版本

Apache Cassandra 3.0~3.0.26之间的所有版本

Apache Cassandra 3.11~3.11.12之间的所有版本

Apache Cassandra 4.0~4.0.2之间的所有版本

漏洞危害等级

高危

厂商是否已发布漏洞补丁

版本更新地址

https://www.mail-archive.com/announce@apache.org/msg07102.html

https://nvd.nist.gov/vuln/detail/CVE-2021-44521

https://cassandra.apache.org/_/index.html

安全狗总预警期数

200

安全狗发布预警日期

2022年2月14日

安全狗更新预警日期

2022年2月14日

发布者

安全狗海青实验室

漏洞影响范围

Apache Cassandra 3.0<3.0.26

Apache Cassandra 3.11<3.11.12

Apache Cassandra 4.0<4.0.2

处置措施

安全建议

目前此漏洞已经修复,建议受影响用户及时升级更新到以下版本:

Apache Cassandra 3.0版本用户升级到3.0.26。

Apache Cassandra 3.11版本用户升级到3.11.12。

Apache Cassandra 4.0版本用户升级到4.0.2。

下载链接:

https://cassandra.apache.org/_/download.html

临时缓解措施

若暂时无法升级,缓解措施如下:

设置enable_user_defined_functions_threads:true(默认设置)。

修复建议

https://www.mail-archive.com/announce@apache.org/msg07102.html

https://nvd.nist.gov/vuln/detail/CVE-2021-44521

https://cassandra.apache.org/_/index.html

bocco
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ubuntu18.04安装Cassandra3.11.3可能出现的问题
Axure Family的小站
06-24 674
内存不足,报错,解决方式(cassandra为apt-get安装): 修改/etc/cassandra/cassandra-env.sh文件: sudo gedit cassandra-env.sh Ctrl+F查找: #MAX_HEAP_SIZE=“4G” #HEAP_NEWSIZE=“800M” 将这两行前面的#号注释去掉,并把数值大小改成原来的一半(假设虚拟机分配了4G) 修改: MAX_...
【高危】Apache Cassandra 存在越权漏洞导致远程命令执行
murphysec的博客
06-07 827
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。
Apache Cassandra数据库软件中报告高严重性RCE安全漏洞
04-30 229
研究人员披露了ApacheCassandra一个现已修补的高严重性安全漏洞的细节,如果这个漏洞得不到解决,可能会被滥用来获取受影响安装的远程代码执行(RCE)。 DevOps公司JFrog的安全研究员在周二发表的一篇技术文章中称:“Apach的这个安全漏洞很容易被利用,有可能对系统造成严重破坏,但幸运的是,它只在Cassandra的非默认配置中出现。” Apache Cassandra是一个开源...
Apache Cassandra 开源数据库软件修复高危RCE漏洞
smellycat000的专栏
02-16 327
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士研究人员详述了Apache Cassandra中现已修复的一个高危漏洞 (CVE-2021-44521) 详情,它本可用于获得受影响系统...
CVE-2020-13946:Apache Cassandra RMI重新绑定漏洞通告
爱国小白帽
09-02 1304
360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-090201 报告来源:360CERT 报告作者:360CERT 更新日期:2020-09-02 0x01 漏洞简述 2020年09月02日, 360CERT监测发现 Apache官方 发布了 Apache Cassandra RMI 重新绑定漏洞 的风险通告,该漏洞编号为 CVE-2020-13946,漏洞等级:中危,漏洞评分:6.8分。 在Apache Cassandra中,没有权限访问A
cassandra的坑-windows平台压缩策略
weixin_34248258的博客
02-26 145
2016年5月中旬,由于急着项目上线,cassandra3.4版本在没有很多测试的情况下就使用了,当时部署在3台16G的windows系统服务器上。几个月使用下来,多数问题都是OOM导致的宕机 。特别是有一次宕机,在重启数据库后发现内存不断上升,多次重启也都是如此。通过观察判断可能原因是数据库采取的默认compact策略-SizeTieredCompactionStrategy(将磁盘上小的DB文...
Mastering Apache Cassandra
12-27
### Apache Cassandra 掌控指南 #### 一、引言 在大数据时代,高效的数据存储与管理变得至关重要。《Mastering Apache Cassandra》这本书旨在帮助读者掌握 Apache Cassandra 的核心技术和最佳实践,使其能够在处理...
Spring Data for Apache Cassandra API(Spring Data for Apache Cassandra 开发文档).CHM
08-31
Spring Data for Apache Cassandra API。 Spring Data for Apache Cassandra 开发文档
Cassandraapache-cassandra-3.11.11-bin.tar.gz)
01-15
Cassandraapache-cassandra-3.11.11-bin.tar.gz)是一套开源分布式NoSQL数据库系统。它最初由Facebook开发,用于储存收件箱等简单格式数据,集GoogleBigTable的数据模型与Amazon Dynamo的完全分布式的架构于一身...
Expert Apache Cassandra Administration.pdf
05-15
Apache Cassandra是一个分布式的NoSQL数据库管理系统,它被设计用来处理大量的数据跨越多个数据中心。Cassandra对高性能、高可用性、可扩展性有着出色的支持,因此它特别适合于那些需要不断增长和变化的数据集的应用...
apache-cassandra-3.11.13
08-15
Apache Cassandra 是一个分布式数据库系统,特别设计用于处理大规模数据,具备高可用性、线性可扩展性和优秀的性能。在这个"apache-cassandra-3.11.13"版本中,我们探讨的是Cassandra项目的其中一个稳定版本,它包含...
配置类安全问题学习小结
dayouzi的博客
09-06 7628
此文主要是针对扫描器常见的一些配置性漏洞的概述及如何修复的一些建议。
Cassandra CQL操作和运维
Zzhou1990的博客
05-12 2340
下载和安装简介 http://cassandra.apache.org/download/ 找到一个合适的下载链接,例如: wget https://mirror.bit.edu.cn/apache/cassandra/3.11.6/apache-cassandra-3.11.6-bin.tar.gz ## 需要java环境 解压-启动 tar -zxvf apache-cassandra-3.11.6-bin.tar.gz bin/cassandra -f ## -f” 选项指定ca
cassandra 堆外内存管理
方丈的寺院
04-09 3125
为什么需要堆外内存呢单有一些大内存对象的时候,JVM进行垃圾回收时需要收集所有的这些对象的内存也。增加了GC压力。因此需要使用堆外内存。java 分配堆外内存org.apache.cassandra.utils.memory.BufferPool也有相应的实现方法 private static ByteBuffer allocate(int size, boolean onHeap) {
CVE-2021-40444漏洞复现
1ance's blog
09-25 3595
简介 MSHTML(又称Trident)是微软Windows操作系统Internet Explorer(IE)浏览器的排版组件。软件开发人员使用该组件,可以在应用中快速实现网页浏览功能。MSHTML除应用于IE浏览器、IE内核浏览器外,还在Office的Word、Excel和PowerPoint文档中用来呈现Web托管内容。 9月7日,微软公司发布了针对Microsoft MSHTML远程代码执行漏洞的紧急安全公告。攻击者利用该漏洞,通过精心构造包含可被加载的恶意 ActiveX控件的Microsoft O
cassandra异常
波子汽水
07-07 3089
建表空间没问题。 在插入测试的时候报错!2017-55-07 04:55:27 开始插入数据共计 10 条 Exception in thread "main" com.datastax.driver.core.exceptions.WriteTimeoutException: Cassandra timeout during write query at consistency LOCAL_ON
AI安全立法:加州新法案的争议与未来影响
2301_79342058的博客
09-01 847
正如之前详细探讨过的那样,SB-1047法案要求AI模型的创建者在模型出现“对公共安全和安保构成新威胁”时,尤其是在“缺乏人类监督、干预或管理”的情况下,必须实施一种可以“关闭”该模型的“杀手开关”。不要错过这个机会,成为AI领域的领跑者。在周三宣布立法通过时,该法案的发起人、州参议员斯科特·维纳(Scott Weiner)引用了AI行业知名人士的支持,如Geoffrey Hinton和Yoshua Bengio(这两位去年也签署了一份声明,警告快速发展的AI技术可能带来的“灭绝风险”)。
IT服务器安全规范 2024.08
S0linteeH's Blog
08-30 1822
安全配置建议 使用场景 场景说明 安全配置建议 登录密钥 服务器登录账号及密钥。 建议设置为强密码形式:12位以上,同时包含数字、大小写字母、特殊符号 远程登录端口 22、3389端口分别用于服务器的Linux和Windows场景下的远程登录,需对这两端口进行安全限制。 利用安全组限制22、3389远程登录端口的访问来源IP。无法设置白名单时,将远程登录的方式设置为SSH Key认证方式。 MySQL、FTP等在安装的高危服务端口 由于MySQL和
web渗透:SSRF漏洞
最新发布
weixin_68416970的博客
09-02 911
SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种安全漏洞,它允许攻击者构造请求,由服务端发起,从而访问服务端无法直接访问的内部或外部资源。为了防范SSRF漏洞,应用程序应该实施严格的输入验证,限制外部请求的来源和类型,以及避免在服务器端执行用户可控的外部请求。内外网web应用攻击:利用SSRF漏洞,攻击者可以针对内外网的web应用发起攻击,特别是那些通过GET参数即可触发的漏洞。通过实施这些措施,可以显著降低SSRF漏洞被利用的风险,保护应用程序和数据的安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值