top of page

Este site foi desenvolvido com o criador de sites

. Crie seu site hoje.Começar

Encontrada e corrigida falha no software de base de dados Apache Cassandra

Esta falha, se explorada com sucesso, podia levar à execução de código remota. Seguida pelo CVE-2021-44521.

O Apache Cassandra refere-se a uma base de dados NoSQL open-source, sendo que oferece a funcionalidade de criar funções definidas pelo utilizador (UDF's) que permitem desenvolver processamentos personalizados de dados na base de dados.

A falha acontece por causa de ser usado o motor Nashorn no JRE (java Runtime Environment); caso a configuração para as funções definidas pelo utilizador esteja ativa, o atacante pode aproveitar-se do mesmo (nashorn) para escapar da sandbox e, dessa forma, conseguir executar código remotamente.

Em suma, a exploração da falha é possível caso a configuração do ficheiro cassandra.yaml tenha o seguinte:

enable_user_defined_functions: true
enable_scripted_user_defined_functions: true
enable_user_defined_functions_threads: false

Versões corrigidas

3.0.26

3.11.12

4.0.2

Solução

Atualizar de acordo com a informação constante do github do Cassandra

Blogue dos investigadores: https://jfrog.com/blog/cve-2021-44521-exploiting-apache-cassandra-user-defined-functions-for-remote-code-execution/

Github Cassandra: https://github.com/apache/cassandra

POSTS RECENTES:

Microsoft Patch Tuesday Maio 2024 - Atualizações urgentes

Falha crítica de injeção de código corrigida no Cacti

Corrigido o CVE-2024-4041relativo ao Plugin Yoast SEO

Falha na autenticação urge atualização no ApacheMQ

CrushFTP CVE-2024-4040 - atualize urgentemente o seu servidor

Corrigida falha de elevação de privilégios no Oracle VirtualBox

Corrigidas 3 falhas no plugin de wordpress Forminator

Microsoft Patch Tuesday - Abril 2024

Falha crítica de SQL injection endereçada no plugin de wordpress LayerSlider

Encontrado backdoor em ferramentas xz de muitas distribuições Linux

PROCURE POR TAGS:

bottom of page