1
漏洞描述
漏洞编号:CVE-2020-13946,在Apache Cassandra中,本地攻击者可进行中间人攻击,并捕获用于访问JMX界面的用户名和密码。然后,攻击者可以使用这些凭据来访问JMX界面并执行未经授权的操作。用户还应该注意CVE-2019-2684,这是一个JRE漏洞,可以使此问题被远程利用。
Apache Cassandra(社区内一般简称为C*)是一套开源分布式NoSQL数据库系统。它最初由Facebook开发,用于改善电子邮件系统的搜索性能的简单格式数据,集Google BigTable的数据模型与Amazon Dynamo的完全分布式架构于一身。Facebook于2008将 Cassandra 开源,此后,由于Cassandra良好的可扩展性和性能,被 Apple, Comcast,Instagram, Spotify, eBay, Rackspace, Netflix等知名网站所采用,成为了一种流行的分布式结构化数据存储方案。
2漏洞等级
中危
3
受影响的版本
Apache Cassandra 2.1系列 < 2.1.22
Apache Cassandra 2.2系列 < 2.2.18
Apache Cassandra 3.0系列 < 3.0.22
Apache Cassandra 3.1系列 < 3.11.8
Apache Cassandra 4.0系列 < 4.0-beta2
4
安全版本
2.1.x用户应升级到2.1.22
2.2.x用户应升级到2.2.18
3.0.x用户应升级到3.0.22
3.11.x用户应升级到3.11.8
4.0-beta1用户应升级到4.0-beta2
5
漏洞修复方案
腾讯安全专家建议用户尽快将Apache Cassandra升级到安全版本。
6
腾讯安全解决方案
腾讯T-Sec主机安全(云镜)漏洞库日期2020-09-02之后的版本,已支持对Apache Cassandra RMI重新绑定漏洞的检测。
关于腾讯T-Sec主机安全(云镜)的更多信息,可长按识别以下二维码查阅。
参考链接
https://www.mail-archive.com/dev@cassandra.apache.org/msg15735.html
https://nvd.nist.gov/vuln/detail/CVE-2020-13946
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论