https://www.opennet.ru/openforum/vsluhforumID3/101915.html В СУБД Apache Cassandra выявлена (http://mail-archives.apache.org/mod_mbox/cassandra-user/201504.mbox/%3CCALamADJu4yo%3DcO8HgA6NpgFc1wQN_VNqpkMn-3SZwhPq9foLBw%40mail.gmail.com%3E) уязвимость (CVE-2015-0225), допускающая выполнение произвольного кода на сервере. Атака может быть осуществлена удалённо без выполнения аутентификации. Проблема обусловлена тем, что интерфейс JMX/RMI, предназначенный для передачи и удалённого выполнения сериализованного Java-кода, привязывается ко всем сетевым интерфейсам без какой-либо аутентификации. Пользователям веток 2.0.x и 2.1.x рекомендуется обновить свои системы до версий 2.0.14 и 2.1.4, пользователям ветки 1.2.x рекомендовано перейти на поддерживаемую ветку. При невозможности обновления пользователям рекомендовано вручную настроить шифрование и аутентификацию для JMX/RMI в соответствии с рекомендациями (https://wiki.apache.org/cassandra/JmxSecurity).<br><br>URL: http://mail-archives.apache.org/mod_mbox/cassandra-user/201504.mbox/%3CCALamADJu4yo%3DcO8HgA6NpgFc1wQN_VNqpkMn-3SZwhPq https://www.opennet.ru/openforum/vsluhforumID3/101915.html#10 Fri, 03 Apr 2015 13:15:07 GMT &gt; удалённого выполнения сериализованного <br>&gt; Java-кода, привязывается ко всем сетевым<br>&gt; интерфейсам без какой-либо аутентификации.<br><br>На третий день Неуловимый Джо заметил что можно просто заливать свой код на сервак...<br> https://www.opennet.ru/openforum/vsluhforumID3/101915.html#9 Fri, 03 Apr 2015 10:40:25 GMT "Ну это нормально!" (С) Г.Харламов<br> https://www.opennet.ru/openforum/vsluhforumID3/101915.html#8 Fri, 03 Apr 2015 08:51:54 GMT &gt;&gt;СУБД <br>&gt;&gt;для передачи и удалённого выполнения сериализованного Java-кода <br>&gt; Какая забавная идея...<br><br>Авторы той СУБД просто были не в курсе реалий своей любимой джавва. Этот самый JMX - просто механизм RPC. Да, неча его без затычек наружу выставлять.<br><br>Ну, теперь-то им об этом рассказали, они пофиксили. Заживут...<br> https://www.opennet.ru/openforum/vsluhforumID3/101915.html#7 Fri, 03 Apr 2015 07:28:58 GMT Семь бед - один ответ - Riak.<br> https://www.opennet.ru/openforum/vsluhforumID3/101915.html#6 Fri, 03 Apr 2015 07:22:00 GMT просто из любопытства, а Вы территориально где работаете? (смотрел профиль)<br> https://www.opennet.ru/openforum/vsluhforumID3/101915.html#5 Thu, 02 Apr 2015 22:52:02 GMT &gt; привязывается ко всем сетевым интерфейсам без какой-либо аутентификации<br><br>Хмм, а что, у кого-то ещё не iptables -P INPUT DROP?<br><br>А выполнение произвольного кода (пусть даже и "сериализированного Java") даже с 127.0.0.1 - дыра априори. Неужто обновление полностью отключает эту, кхмм, "фичу"?<br> https://www.opennet.ru/openforum/vsluhforumID3/101915.html#4 Thu, 02 Apr 2015 21:56:03 GMT &gt; да, первый момент когда подумалось чхорошо что фэйсбук, гугль и еще три корпорации, передумали эту БД использовать.<br><br>А чего это ты за них так запереживал ?<br> https://www.opennet.ru/openforum/vsluhforumID3/101915.html#3 Thu, 02 Apr 2015 21:34:04 GMT "Это нормально" (С) Е.В. Малышева<br> https://www.opennet.ru/openforum/vsluhforumID3/101915.html#2 Thu, 02 Apr 2015 19:20:40 GMT да, первый момент когда подумалось чхорошо что фэйсбук, гугль и еще три корпорации, передумали эту БД использовать. в принципе нормальная хреновина. в пору когда она встала на ноги впервые - похожего было мало(это сейчас больше десятка только "толстых" аналогов и куча вяложивущих), лишь позднее и Мнезия и прчее - подтянулось.<br>