![Apache Cassandra Veritabanı Yazılımında Yüksek Önemli RCE Güvenlik Hatası Bildirildi](https://kilalu.blog/news/2024-07-11-06:49/Apache Cassandra Veritabanı Yazılımında Yüksek Önemli RCE Güvenlik Hatası Bildirildi.jpg)
Araştırmacılar, Apache Cassandra’da, ele alınmadığı takdirde, etkilenen kurulumlarda uzaktan kod yürütme (RCE) elde etmek için kötüye kullanılabilecek, şu anda yamalı yüksek düzeyde güvenlik açığının ayrıntılarını ortaya çıkardı.
DevOps firması JFrog’da güvenlik araştırmacısı Omer Kaspi, “Bu Apache güvenlik açığından yararlanmak kolaydır ve sistemlerde hasara yol açma potansiyeline sahiptir, ancak şans eseri yalnızca Cassandra’nın varsayılan olmayan yapılandırmalarında kendini gösterir.” dedim Salı günü yayınlanan teknik bir yazıda.
Apache Cassandra, emtia sunucuları arasında çok büyük miktarda yapılandırılmış veriyi yönetmek için açık kaynaklı, dağıtılmış bir NoSQL veritabanı yönetim sistemidir.
olarak izlendi CVE-2021-44521 (CVSS puanı: 8.4), güvenlik açığı, kullanıcı tanımlı işlevlerin (UDF’ler) etkinleştirilir ve bir saldırganın Nashorn JavaScript motoru, sanal alandan kaçın ve güvenilmeyen kodun yürütülmesini sağlayın.
![Apache Cassandra Veritabanı Yazılımı Apache Cassandra Veritabanı Yazılımı](https://teknomerscdn.cloudspecter.com/wp-content/uploads/2022/02/Apache-Cassandra-Veritabani-Yaziliminda-Yuksek-Onemli-RCE-Guvenlik-Hatasi-Bildirildi.gif)
Spesifik olarak, cassandra.yaml yapılandırma dosyası aşağıdaki tanımları içerdiğinde Cassandra dağıtımlarının CVE-2021-44521’e karşı savunmasız olduğu bulundu:
- enable_user_defined_functions: true
- enable_scripted_user_defined_functions: true
- enable_user_defined_functions_threads: “yanlış”
“Ne zaman [enable_user_defined_functions_threads] seçenek false olarak ayarlandığında, çağrılan tüm UDF işlevleri, bazı izinlere sahip bir güvenlik yöneticisine sahip olan Cassandra arka plan programı iş parçacığında çalışır,” dedi Kaspi, böylece düşmanın güvenlik yöneticisini devre dışı bırakmasına ve sanal alandan çıkmasına ve keyfi kabuk komutları çalıştırmasına izin verdi. sunucuda.
Apache Cassandra kullanıcılarının sürümlere yükseltme yapmaları önerilir 3.0.26, 3.11.12ve 4.0.2 varsayılan olarak false olarak ayarlanmış ve güvenlik yöneticisinin kapatılmasını önleyen yeni bir “allow_extra_insecure_udfs” bayrağı ekleyerek kusuru gideren olası istismarı önlemek için.
Popular Articles
- 28 Jul TikTok kullanıcı anket sonuçları şaşırttı!
- 09 Jul The Cureden Yeni Albüm
- 21 Jun İstanbul Kent Üniversitesi 2020 Taban Puanları ve Başarı Sıralaması
- 15 Jul Şimdiye Kadar Keşfedilen En Ağır Nötron Yıldızının Güneşten Tam 2.35 Kat Daha Büyük Olduğu Ortaya Çıktı
- 30 Jul Halkbank Erkek Voleybol Takımı, Yunus Emre Tayazı transfer etti - Diger Haberleri
Latest Articles
- 22 Jul 2021 Model İkinci Nesil Mercedes GLA’nın Tanıtım Tarihi Açıklandı
- 13 Jul Persona 5 Royalin Yeni Fragmanı Yayınlandı (Video)
- 29 Jun Appleın karma gerçeklik gözlükleri konusundaki üretim planları ortaya çıktı
- 22 Jul İnsanlar ölmeden önce ne görüyor
- 01 Jul IBM ve AIST, rakiplerinden 75 kat daha fazla kübit olan 10.000 kübitlik kuantum bilgisayar üzerinde işbirliği yapıyor