Информационная безопасность с разных точек зрения

Информационная безопасность с разных точек зрения

Новости ИБ
Мнения экспертов и регуляторов, обзоры средств защиты информации, вакансии и работа.

В популярной базе данных Apache Cassandra обнаружена серьезная ошибка RCE

Исследователи поделились подробностями об уже исправленной серьезной ошибке безопасности в распределенной базе данных NoSQL с открытым исходным кодом Apache Cassandra, которую легко использовать и, если ее не исправить, она может позволить злоумышленникам получить удаленное выполнение кода (RCE).

Исследователи поделились подробностями об уже исправленной серьезной ошибке безопасности в распределенной базе данных NoSQL с открытым исходным кодом Apache Cassandra , которую легко использовать и позволяла злоумышленникам получить удаленное выполнение кода (RCE).

Ошибка, связанна с тем, как Cassandra создает определяемые пользователем функции (UDF) для выполнения пользовательской обработки данных. CVE-2021-44521 обладает высоким рейтингом серьезности – 8,4. Эту уязвимость в системе безопасности Apache легко использовать, и она может нанести ущерб системе, но, к счастью, проявляется только в нестандартных конфигурациях Cassandra.

Что такое Cassandra?

Cassandra — это хорошо масштабируемая, широко используемая распределенная база данных, известная своей эффективностью и высокой доступностью. Стоит учитывать, что такие базы данных не имеют единой точки отказа, что является несомненным преимуществом для компаний, которые не могут позволить себе потерю критически важных данных или простои системы. Она также известна своей способностью обрабатывать огромные объемы данных на нескольких серверах с возможностью быстрой записи данных без влияния на скорость чтения.

Cassandra — это хорошо масштабируемая распределенная база данных NoSQL, которая чрезвычайно популярна благодаря преимуществам своей распределенной природы.

Она используется в таких компаниях как Netflix, Twitter, Urban Airship, Constant Contact, Reddit, Cisco, OpenX, Digg, CloudKick, Ooyala и другими. Cassandra также чрезвычайно популярна в кругах DevOps и облачных разработчиков.

Некоторые компании даже предоставляют готовые облачные решения на основе Cassandra.

Реализация уязвимости

Джон Бамбенек, главный специалист по поиску угроз в компании Netenrich, занимающейся ИТ и работами в области безопасности, заявил, что считает использование настроек, отличных от настроек по умолчанию, распространенным явлением во многих приложениях по всему миру.

Поиск уязвимых установок Apache Cassandra станет рутинной работой для злоумышленников. Если злоумышленник получит доступ для записи к конфигурации он может активировать уязвимость скрытно от владельцев данных..

Исправление

Рекомендует всем пользователям Apache Cassandra обновиться до одной из следующих версий, которые устранят ошибку:

  • Пользователи 3.0.x должны обновиться до 3.0.26
  • Пользователи 3.11.x должны обновиться до 3.11.12.
  • Пользователи 4.0.x должны обновиться до 4.0.2

Для тех пользователей, которые не могут произвести обновление рекомендуется провести следующие мероприятия:

  • Если пользовательские функции не используются активно, их можно полностью отключить, установив для параметра enable_user_defined_functions значение false (это значение по умолчанию).
  • Если нужны пользовательские функции, установите для параметра enable_user_defined_functions_threads значение true (значение по умолчанию).
  • Удалите разрешения на создание, изменение и выполнение функций для недоверенных пользователей, удалив разрешения для запросов CREATE, ALTER и EXECUTE.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Спасибо!

Теперь редакторы в курсе.