Опасная уязвимость в Apache Cassandra

02.04.2015 20:03

В СУБД Apache Cassandra выявлена уязвимость (CVE-2015-0225), допускающая выполнение произвольного кода на сервере. Атака может быть осуществлена удалённо без выполнения аутентификации. Проблема обусловлена тем, что интерфейс JMX/RMI, предназначенный для передачи и удалённого выполнения сериализованного Java-кода, привязывается ко всем сетевым интерфейсам без какой-либо аутентификации. Пользователям веток 2.0.x и 2.1.x рекомендуется обновить свои системы до версий 2.0.14 и 2.1.4, пользователям ветки 1.2.x рекомендовано перейти на поддерживаемую ветку. При невозможности обновления пользователям рекомендовано вручную настроить шифрование и аутентификацию для JMX/RMI в соответствии с рекомендациями.

исправить +5 +/–

Автор новости: YetAnotherOnanym

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/41959-cassandra

Ключевые слова: cassandra

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (10)

1.1, A.Stahl (ok), 20:46, 02/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
>СУБД >для передачи и удалённого выполнения сериализованного Java-кода Какая забавная идея...

2.3, Анончег (?), 00:34, 03/04/2015 [^] [^^] [^^^] [ответить]	+/–
"Это нормально" (С) Е.В. Малышева

3.9, Аноним (-), 13:40, 03/04/2015 [^] [^^] [^^^] [ответить]	+1 +/–
"Ну это нормально!" (С) Г.Харламов

2.8, Andrey Mitrofanov (?), 11:51, 03/04/2015 [^] [^^] [^^^] [ответить]

–1 +/–

>>СУБД
>>для передачи и удалённого выполнения сериализованного Java-кода
> Какая забавная идея...

Авторы той СУБД просто были не в курсе реалий своей любимой джавва. Этот самый JMX - просто механизм RPC. Да, неча его без затычек наружу выставлять.

Ну, теперь-то им об этом рассказали, они пофиксили. Заживут...

1.2, Аноним (-), 22:20, 02/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
да, первый момент когда подумалось чхорошо что фэйсбук, гугль и еще три корпорации, передумали эту БД использовать. в принципе нормальная хреновина. в пору когда она встала на ноги впервые - похожего было мало(это сейчас больше десятка только "толстых" аналогов и куча вяложивущих), лишь позднее и Мнезия и прчее - подтянулось.

2.4, Анончег (?), 00:56, 03/04/2015 [^] [^^] [^^^] [ответить]	–1 +/–
> да, первый момент когда подумалось чхорошо что фэйсбук, гугль и еще три корпорации, передумали эту БД использовать. А чего это ты за них так запереживал ?

1.5, Дворник (??), 01:52, 03/04/2015 [ответить] [﹢﹢﹢] [ · · · ]

+1 +/–

> привязывается ко всем сетевым интерфейсам без какой-либо аутентификации

Хмм, а что, у кого-то ещё не iptables -P INPUT DROP?

А выполнение произвольного кода (пусть даже и "сериализированного Java") даже с 127.0.0.1 - дыра априори. Неужто обновление полностью отключает эту, кхмм, "фичу"?

2.6, Аноним (-), 10:22, 03/04/2015 [^] [^^] [^^^] [ответить]	+/–
просто из любопытства, а Вы территориально где работаете? (смотрел профиль)

1.7, рафидит (ok), 10:28, 03/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Семь бед - один ответ - Riak.

1.10, Омномномном (?), 16:15, 03/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> удалённого выполнения сериализованного > Java-кода, привязывается ко всем сетевым > интерфейсам без какой-либо аутентификации. На третий день Неуловимый Джо заметил что можно просто заливать свой код на сервак...

игнорирование участников | лог модерирования

Добавить комментарий

Текст: