The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Опасная уязвимость в Apache Cassandra"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Опасная уязвимость в Apache Cassandra"  +/
Сообщение от opennews (ok) on 02-Апр-15, 20:46 
В СУБД Apache Cassandra выявлена (http://mail-archives.apache.org/mod_mbox/cassandra-user/2015...) уязвимость (CVE-2015-0225), допускающая выполнение произвольного кода на сервере. Атака может быть осуществлена удалённо без выполнения аутентификации. Проблема обусловлена тем, что интерфейс JMX/RMI, предназначенный для передачи и удалённого выполнения сериализованного Java-кода, привязывается ко всем сетевым интерфейсам без какой-либо аутентификации. Пользователям веток 2.0.x и 2.1.x рекомендуется обновить свои системы до версий 2.0.14 и 2.1.4, пользователям ветки 1.2.x рекомендовано перейти на поддерживаемую ветку. При невозможности обновления пользователям рекомендовано вручную настроить шифрование и аутентификацию для JMX/RMI в соответствии с рекомендациями (https://wiki.apache.org/cassandra/JmxSecurity).

URL: http://mail-archives.apache.org/mod_mbox/cassandra-user/2015...
Новость: http://www.opennet.me/opennews/art.shtml?num=41959

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Опасная уязвимость в Apache Cassandra"  +3 +/
Сообщение от A.Stahl (ok) on 02-Апр-15, 20:46 
>СУБД
>для передачи и удалённого выполнения сериализованного Java-кода

Какая забавная идея...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Опасная уязвимость в Apache Cassandra"  +/
Сообщение от Анончег on 03-Апр-15, 00:34 
"Это нормально" (С) Е.В. Малышева
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Опасная уязвимость в Apache Cassandra"  +1 +/
Сообщение от Аноним (??) on 03-Апр-15, 13:40 
"Ну это нормально!" (С) Г.Харламов
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Опасная уязвимость в Apache Cassandra"  –1 +/
Сообщение от Andrey Mitrofanov on 03-Апр-15, 11:51 
>>СУБД
>>для передачи и удалённого выполнения сериализованного Java-кода
> Какая забавная идея...

Авторы той СУБД  просто были не в курсе реалий своей любимой джавва. Этот самый JMX - просто механизм RPC. Да, неча его без затычек наружу выставлять.

Ну, теперь-то им об этом рассказали, они пофиксили. Заживут...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Опасная уязвимость в Apache Cassandra"  +/
Сообщение от Аноним (??) on 02-Апр-15, 22:20 
да, первый момент когда подумалось чхорошо что фэйсбук, гугль и еще три корпорации, передумали эту БД использовать. в принципе нормальная хреновина. в пору когда она встала на ноги впервые - похожего было мало(это сейчас больше десятка только "толстых" аналогов и куча вяложивущих), лишь позднее и Мнезия и прчее - подтянулось.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Опасная уязвимость в Apache Cassandra"  –1 +/
Сообщение от Анончег on 03-Апр-15, 00:56 
> да, первый момент когда подумалось чхорошо что фэйсбук, гугль и еще три корпорации, передумали эту БД использовать.

А чего это ты за них так запереживал ?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Опасная уязвимость в Apache Cassandra"  +1 +/
Сообщение от Дворник (??) on 03-Апр-15, 01:52 
> привязывается ко всем сетевым интерфейсам без какой-либо аутентификации

Хмм, а что, у кого-то ещё не iptables -P INPUT DROP?

А выполнение произвольного кода (пусть даже и "сериализированного Java") даже с 127.0.0.1 - дыра априори. Неужто обновление полностью отключает эту, кхмм, "фичу"?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Опасная уязвимость в Apache Cassandra"  +/
Сообщение от Аноним (??) on 03-Апр-15, 10:22 
просто из любопытства, а Вы территориально где работаете? (смотрел профиль)
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Опасная уязвимость в Apache Cassandra"  +/
Сообщение от рафидит (ok) on 03-Апр-15, 10:28 
Семь бед - один ответ - Riak.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Опасная уязвимость в Apache Cassandra"  +/
Сообщение от Омномномном on 03-Апр-15, 16:15 
> удалённого выполнения сериализованного
> Java-кода, привязывается ко всем сетевым
> интерфейсам без какой-либо аутентификации.

На третий день Неуловимый Джо заметил что можно просто заливать свой код на сервак...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру