【误差通告】Apache Cassandra远程代码执行误差(CVE-2021-44521)

宣布时间 2022-02-14

 

0x00 误差概述

CVE   ID

CVE-2021-44521

时    间

2022-02-11

类    型

RCE

等    级

高危

远程使用

影响规模


攻击重漂后


用户交互


PoC/EXP


在野使用


 

0x01 误差详情

Apache Cassandra 是一个开源的NoSQL 漫衍式数据库,,,,,,,具有可扩展性和高可用性,,,,,,,并被数千家拥有大宗活动数据集的公司使用。。。 。

当使用下列不清静设置运行Apache Cassandra时,,,,,,,可能导致攻击者在主机上执行恣意代码(剧本化UDF的远程代码执行),,,,,,,但攻击者需要有足够的权限来建设用户界说函数才华够使用此误差:

enable_user_defined_functions: true

enable_scripted_user_defined_functions: true

enable_user_defined_functions_threads: false

 

影响规模

使用上述不清静设置的:

Apache Cassandra 3.0 < 3.0.26

Apache Cassandra 3.11 < 3.11.12

Apache Cassandra 4.0 < 4.0.2

 

0x02 清静建议

现在此误差已经修复,,,,,,,建议受影响用户实时升级更新到以下版本:

Apache Cassandra 3.0 版本用户升级到3.0.26。。。 。

Apache Cassandra 3.11版本用户升级到3.11.12。。。 。

Apache Cassandra 4.0版本用户升级到4.0.2。。。 。

下载链接:

https://cassandra.apache.org/_/download.html

缓解步伐:

若无法升级,,,,,,,可应用以下缓解步伐:

设置enable_user_defined_functions_threads: true(默认设置)。。。 。

 

0x03 参考链接

https://www.mail-archive.com/announce@apache.org/msg07102.html

https://nvd.nist.gov/vuln/detail/CVE-2021-44521

https://cassandra.apache.org/_/index.html

 

0x04 版本信息

版本

日期

修改内容

V1.0

2022-02-14

首次宣布

 

0x05 附录

凯时K66简介

凯时K66公司建设于1996年,,,,,,,并于2010年6月23日在深交所中小板正式挂牌上市,,,,,,,是海内极具实力的、拥有完全自主知识产权的网络清静产品、可信清静治理平台、清静效劳与解决计划的综合提供商。。。 。

公司总部位于北京市中关村软件园,,,,,,,在天下各省、市、自治区设有分支机构,,,,,,,拥有笼罩天下的渠道系统和手艺支持中心,,,,,,,并在北京、上海、成都、广州、长沙、杭州等多地设有研发中心。。。 。

多年来,,,,,,,凯时K66致力于提供具有国际竞争力的自主立异的清静产品和最佳实践效劳,,,,,,,资助客户周全提升其IT基础设施的清静性和生产效能,,,,,,,为打造和提升国际化的民族信息清静工业领军品牌而不懈起劲。。。 。

 

关于凯时K66

凯时K66清静应急响应中心主要针对主要清静误差的预警、跟踪和分享全球最新的威胁情报和清静报告。。。 。

关注以下公众号,,,,,,,获取全球最新清静资讯:

image.png