【中危】- Apache Cassandra RMI重新绑定漏洞通告(CVE-2020-13946)
■ 漏洞描述
Apache Cassandra(社区内一般简称为C*)是一套开源分布式NoSQL数据库系统。Apache官方发布了Apache Cassandra RMI重新绑定漏洞的风险通告,漏洞编号为 CVE-2020-13946。
在Apache Cassandra中,没有权限访问Apache Cassandra进程或配置文件的本地攻击者可以操作RMI注册表来执行中间人攻击,并获取用于访问JMX接口的用户名和密码,然后攻击者可以使用这些凭证访问JMX接口并执行未经授权的操作。
■ 影响范围
- Apache Cassandra 2.1.x: <2.1.22
- Apache Cassandra 2.2.x: <2.2.18
- Apache Cassandra 3.0.x: <3.0.22
- Apache Cassandra 3.11.x: <3.11.8
- Apache Cassandra 4.0-beta1: <4.0-beta2
■ 漏洞检测
1、匹配系统版本。
■ 漏洞修复
升级到最新版本:
- 2.1.x版本用户应升级到2.1.22版本
- 2.2.x版本用户应升级到2.2.18版本
- 3.0.x版本用户应升级到3.0.22版本
- 3.11.x版本用户应升级到3.11.8版本
- 4.0-beta1版本用户应升级到4.0-beta2版本
下载地址为:https://cassandra.apache.org/download/
■ 临时修复
1、暂时无法升级,添加访问限制。
■ 漏洞详情
https://www.mail-archive.com/dev@cassandra.apache.org/msg15735.html
Apache Cassandra(社区内一般简称为C*)是一套开源分布式NoSQL数据库系统。Apache官方发布了Apache Cassandra RMI重新绑定漏洞的风险通告,漏洞编号为 CVE-2020-13946。
在Apache Cassandra中,没有权限访问Apache Cassandra进程或配置文件的本地攻击者可以操作RMI注册表来执行中间人攻击,并获取用于访问JMX接口的用户名和密码,然后攻击者可以使用这些凭证访问JMX接口并执行未经授权的操作。
■ 影响范围
- Apache Cassandra 2.1.x: <2.1.22
- Apache Cassandra 2.2.x: <2.2.18
- Apache Cassandra 3.0.x: <3.0.22
- Apache Cassandra 3.11.x: <3.11.8
- Apache Cassandra 4.0-beta1: <4.0-beta2
■ 漏洞检测
1、匹配系统版本。
■ 漏洞修复
升级到最新版本:
- 2.1.x版本用户应升级到2.1.22版本
- 2.2.x版本用户应升级到2.2.18版本
- 3.0.x版本用户应升级到3.0.22版本
- 3.11.x版本用户应升级到3.11.8版本
- 4.0-beta1版本用户应升级到4.0-beta2版本
下载地址为:https://cassandra.apache.org/download/
■ 临时修复
1、暂时无法升级,添加访问限制。
■ 漏洞详情
https://www.mail-archive.com/dev@cassandra.apache.org/msg15735.html