分享到:
首页 > 通知公告 > 正文
通知公告

关于Apache Cassandra RMI重新绑定漏洞(CVE-2020-13946)的预警提示

发布时间:2020-09.07  点击数:

一、漏洞详情

1Apache Cassandra组件介绍

Apache Cassandra是一个开源、分布式、无中心、弹性可扩展、高可用、可容错、一致性可调、面向行的数据库,它基于Amazon Dynamo的分布式设计和Google Bigtable的数据模型,由Facebook创建,应用在一些最流行的网站中。

它是一种NoSQL类型的数据库,NoSQL数据库(有时称为不是唯一的SQL”)是一种数据库,它提供一种机制来存储和检索数据,而不是关系型数据库中使用的表格关系。NoSQL数据库是无架构的,支持简单的复制,内置简单的API,可以处理大量的数据。

2.漏洞描述

202091日,Apache官方发布了Apache Cassandra RMI重新绑定漏洞的风险通告,该漏洞编号为CVE-2020-13946,漏洞等级定义为中危。

Apache Cassandra中,没有权限访问Apache Cassandra进程或配置文件的本地攻击者,可以操作RMI注册表来执行中间人攻击,捕获用于访问JMX界面的用户名和密码。攻击者可以使用这些凭据来访问JMX界面并执行未经授权的操作。此漏洞与CVE-2019-2684漏洞配合使用,可能造成远程代码执行。

二、影响范围

目前受影响的Apache Cassandra版本:

Apache Cassandra 2.1.x-2.1.22

Apache Cassandra 2.2.x-2.2.18

Apache Cassandra 3.0.x-3.0.22

Apache Cassandra 3.11.x-3.11.8

Apache Cassandra 4.0-beta1-4.0-beta2

三、修复建议

目前厂商已在新版本修复该漏洞:

2.1.x版本用户应升级到2.1.22版本

2.2.x版本用户应升级到2.2.18版本

3.0.x版本用户应升级到3.0.22版本

3.11.x版本用户应升级到3.11.8版本

4.0-beta1版本用户应升级到4.0-beta2版本

补丁下载链接:https://cassandra.apache.org/download/

参考链接:https://www.mail-archive.com/dev@cassandra.apache.org/msg15735.html


电话报修
025-83598000