Wer die No SQL Datenbank Apache Cassandra auf Version 3.0.x, 3.11.x sowie 4.0.x. einsetzt, sollte dringend auf die Versionen 3.0.26, 3.11.12 bzw. 4.0.2 patchen. Hintergrund ist eine kritische Lücke, welche es ermöglicht der Datenbank Schadecode unterzuschieben. Das berichtete zuletzt das amerikanische National Institute of Standards and Technology in seiner National Vulnerablility Database mit dem Eintrag NVD – CVE-2021-44521 (nist.gov).
Die Sicherheitslücke lässt sich offenbar leicht ausnutzen, wenn die Optionen enable_user_defined_functions: true,
enable_scripted_user_defined_functions: true
und enable_user_defined_functions_threads: false
in der Konfigurationsdatei cassandra.yaml
respektive Config.java
gesetzt wurden. Zudem benötigt ein Angreifer die Berechtigungen, benutzerdefinierte Funktionen im Cluster anzulegen – standardmäßig dürfen das jedoch auch anonyme Anmeldungen.
Weitere Informationen zu dem Vorfall berichtet Heise in seinem aktuellen Artikel dazu: Codeschmuggel durch kritische Lücke in der NoSQL-Datenbank Apache Cassandra | heise online
0 Kommentare