Logiciel De Base De Données Apache Cassandra

Les chercheurs ont révélé les détails d’une vulnérabilité de sécurité de haute gravité désormais corrigée dans Apache Cassandra qui, si elle n’est pas résolue, pourrait être utilisée de manière abusive pour obtenir l’exécution de code à distance sur les installations concernées.

« Cette vulnérabilité de sécurité Apache est facile à exploiter et a le potentiel de faire des ravages sur les systèmes, mais heureusement, elle ne se manifeste que dans des configurations autres que celles par défaut de Cassandra », Omer Kaspi, chercheur en sécurité chez DevOps cabinet JFrog, mentionné dans un article technique publié mardi.

Apache Cassandra est un système de gestion de base de données NoSQL open source et distribué permettant de gérer de très grandes quantités de données structurées sur des serveurs de base.

Sauvegardes Github Automatiques

Suivi comme CVE-2021-44521 (score CVSS : 8,4), la vulnérabilité concerne un scénario spécifique où la configuration des fonctions définies par l’utilisateur (FDU) sont activés, permettant effectivement à un attaquant d’exploiter le Nashorn moteur JavaScript, échappez au bac à sable et réalisez l’exécution de code non approuvé.

Logiciel De Base De Données Apache Cassandra

Plus précisément, il a été constaté que les déploiements de Cassandra sont vulnérables à CVE-2021-44521 lorsque le fichier de configuration cassandra.yaml contient les définitions suivantes :

Publicité
  • enable_user_defined_functions : vrai
  • enable_scripted_user_defined_functions : vrai
  • enable_user_defined_functions_threads : faux

« Quand le [enable_user_defined_functions_threads] est définie sur false, toutes les fonctions UDF invoquées s’exécutent dans le thread démon Cassandra, qui dispose d’un gestionnaire de sécurité avec certaines autorisations », a déclaré Kaspi, permettant ainsi à l’adversaire de désactiver le gestionnaire de sécurité et de sortir du bac à sable et d’exécuter des commandes shell arbitraires. sur le serveur.

Empêcher Les Violations De Données

Les utilisateurs d’Apache Cassandra sont encouragés à passer aux versions 3.0.26, 3.11.12et 4.0.2 pour éviter une éventuelle exploitation, qui corrige la faille en ajoutant un nouvel indicateur « allow_extra_insecure_udfs » qui est défini sur false par défaut et empêche la désactivation du gestionnaire de sécurité.


Rate this post
Publicité
Article précédentEric Schmidt crée un fonds de 125 millions de dollars pour les « problèmes difficiles » de la recherche sur l’IA
Article suivantNYSE s’apprête à entrer dans le métaverse avec la liste des marques NFT
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici