The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Опасная уязвимость в Apache Cassandra

02.04.2015 20:03

В СУБД Apache Cassandra выявлена уязвимость (CVE-2015-0225), допускающая выполнение произвольного кода на сервере. Атака может быть осуществлена удалённо без выполнения аутентификации. Проблема обусловлена тем, что интерфейс JMX/RMI, предназначенный для передачи и удалённого выполнения сериализованного Java-кода, привязывается ко всем сетевым интерфейсам без какой-либо аутентификации. Пользователям веток 2.0.x и 2.1.x рекомендуется обновить свои системы до версий 2.0.14 и 2.1.4, пользователям ветки 1.2.x рекомендовано перейти на поддерживаемую ветку. При невозможности обновления пользователям рекомендовано вручную настроить шифрование и аутентификацию для JMX/RMI в соответствии с рекомендациями.

  1. Главная ссылка к новости (http://mail-archives.apache.or...)
  2. OpenNews: Выпуск СУБД Apache Cassandra 2.1
Автор новости: YetAnotherOnanym
Тип: Проблемы безопасности
Ключевые слова: cassandra
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (10) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, A.Stahl (ok), 20:46, 02/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    >СУБД
    >для передачи и удалённого выполнения сериализованного Java-кода

    Какая забавная идея...

     
     
  • 2.3, Анончег (?), 00:34, 03/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    "Это нормально" (С) Е.В. Малышева
     
     
  • 3.9, Аноним (-), 13:40, 03/04/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "Ну это нормально!" (С) Г.Харламов
     
  • 2.8, Andrey Mitrofanov (?), 11:51, 03/04/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>СУБД
    >>для передачи и удалённого выполнения сериализованного Java-кода
    > Какая забавная идея...

    Авторы той СУБД  просто были не в курсе реалий своей любимой джавва. Этот самый JMX - просто механизм RPC. Да, неча его без затычек наружу выставлять.

    Ну, теперь-то им об этом рассказали, они пофиксили. Заживут...

     

  • 1.2, Аноним (-), 22:20, 02/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    да, первый момент когда подумалось чхорошо что фэйсбук, гугль и еще три корпорации, передумали эту БД использовать. в принципе нормальная хреновина. в пору когда она встала на ноги впервые - похожего было мало(это сейчас больше десятка только "толстых" аналогов и куча вяложивущих), лишь позднее и Мнезия и прчее - подтянулось.
     
     
  • 2.4, Анончег (?), 00:56, 03/04/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > да, первый момент когда подумалось чхорошо что фэйсбук, гугль и еще три корпорации, передумали эту БД использовать.

    А чего это ты за них так запереживал ?

     

  • 1.5, Дворник (??), 01:52, 03/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > привязывается ко всем сетевым интерфейсам без какой-либо аутентификации

    Хмм, а что, у кого-то ещё не iptables -P INPUT DROP?

    А выполнение произвольного кода (пусть даже и "сериализированного Java") даже с 127.0.0.1 - дыра априори. Неужто обновление полностью отключает эту, кхмм, "фичу"?

     
     
  • 2.6, Аноним (-), 10:22, 03/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    просто из любопытства, а Вы территориально где работаете? (смотрел профиль)
     

  • 1.7, рафидит (ok), 10:28, 03/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Семь бед - один ответ - Riak.
     
  • 1.10, Омномномном (?), 16:15, 03/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > удалённого выполнения сериализованного
    > Java-кода, привязывается ко всем сетевым
    > интерфейсам без какой-либо аутентификации.

    На третий день Неуловимый Джо заметил что можно просто заливать свой код на сервак...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру