Apache Cassandra数据库曝出高危级RCE该软件

日前，JFrog的分析部门披露在Apache Cassandra数据库当中找到高持续性必需Bug（CVE-2021-44521），如果不加以解决，该Bug可帮助恶意部门在受影响的量化设备上获得远程代码执行（RCE）职责。

Apache Cassandra是一个领域广泛的Linux分布式NoSQL数据库领域软件，用于跨商用服务器管理大量结构化数据。该Bug体现在Cassandra的非默认的设计当中，由于Cassandra提供了创建者Gmail假设表达式（UDF）的动态，容许Gmail对数据库当中的数据执行自假设妥善处理。工作人员可以使用Java和JavaScript来编撰UDF。

在JavaScript当中，它使用了Java调试时环境（JRE）当中的Nashorn 引擎；接受不可信赖的代码时，就无法保证该引擎的必需。JFrog的分析部门找到，Gmail假设表达式（UDF）的的设计被启用后，恶意部门就可以来进行Nashorn 引擎抛出沙箱，并远程执行代码。

现在，Cassandra的开发团队已针对UDF执行实施了一个自假设沙箱，该沙箱使用两种机制来限制UDF代码。分析找到，当cassandra.yaml的设计文件带有以下假设时，就可能被来进行：

•enable_user_defined_functions：true

•enable_scripted_user_defined_functions：true

•enable_user_defined_functions_threads：false

分析部门表示：“当[enable_user_defined_functions_threads]选择新设为false时，所有呼叫的UDF表达式都在Cassandra家主机制线程当中调试，该线程不具备某些职责的必需应用程序，从而容许对手禁用必需应用程序并超越沙箱及在服务器上调试任意shell命令。”

据理解，Apache已经发布了版本3.0.26、3.11.12和4.0.2来应对该Bug，正式版当中去除了一个新图标“allow_extra_insecure_udfs”（默认新设为false），可以防止停用必需应用程序，并且禁止对java.lang.System完成访问。企业一个组织需尽快完成版本升级，避免Bug造成更大侵害。

参考链接：

关的选读

Apache 服务器再曝风险Bug

46%的本地数据库系统存在必需Bug

彭巴商家“刷点评”数据库大规模泄漏

合作电话：18311333376合作微信：aqniu001杂志社邮箱：editor@aqniu.com

贵阳治疗早泄
天津精神病检查费用
广州肿瘤病医院哪家好