日前,JFrog研究人员披露,他们在ApacheCassandra数据库中发现了一个高危安全漏洞(CVE-2021-44521)。如果不解决,此漏洞可以帮助恶意人员在受影响的计算设备上获得远程代码执行(RCE)权限。ApacheCassandra是一种广泛使用的开源分布式NoSQL数据库管理系统,用于跨商用服务器管理大量结构化数据。该漏洞在Cassandra的非默认配置中表现出来,因为Cassandra提供了创建用户定义函数(UDF)的能力,允许用户对数据库中的数据执行自定义处理。管理员可以使用Java和JavaScript编写UDF。在JavaScript中,它使用JavaRuntimeEnvironment(JRE)中的Nashorn引擎;当接受不受信任的代码时,无法保证此引擎的安全。JFrog的研究人员发现启用了用户定义函数(UDF)的配置,允许恶意行为者利用Nashorn引擎逃离沙箱并远程执行代码。目前,Cassandra的开发团队已经实现了一个自定义的UDF执行沙箱,它使用两种机制来限制UDF代码。研究发现,当cassandra.yaml配置文件包含以下定义时,可能会利用漏洞:守护线程,它对安全管理器有一定的权限,允许对手禁用安全管理器并破坏沙箱并在服务器上运行任意shell命令。”据了解,Apache已经发布了3.0.26、3.11.12和4.0.2版本来应对这个漏洞,在新版本中增加了一个新的标志“allow_extra_insecure_udfs”(默认设置为false),可以防止关闭安全管理器并禁止访问java.lang.System。企业组织需要尽快升级版本,避免漏洞带来更大的危害。参考链接:https://securityaffairs.co/wordpress/128079/breaking-news/apache-cassandra-rce.html
