В базе данных Apache Cassandra была обнаружена уязвимость, позволяющая удаленному пользователю скомпрометировать систему. Брешь с идентификатором CVE-2015-0225 нашел исследователь безопасности Георгий Гешев. Она затрагивает версии 1.2.х, 2.0.х и 2.1.х программного продукта.
Уязвимость существует из-за того, что в конфигурации по умолчанию Cassandra привязывает интерфейс JMX/RMI ко всем сетевым интерфейсам без предварительной аутентификации. Поскольку RMI позволяет осуществить транспортировку и удаленное выполнение сериализованного Java-кода, любой злоумышленник с доступом к интерфейсу может выполнить произвольный код с правами текущего пользователя.
Для того чтобы исправить уязвимость, следует установить исправление с сайта производителя. Поскольку линейка 1.2.х более не поддерживается, ее пользователям потребуется перейти на более новые версии Apache Cassandra.
Новости интересные и малоизвестные из IT индустрии
Больше статей
Плагин для онлайн курсов LearnPress на WordPress потенциально уязвим
Специалисты по кибербезопасности BitSight обнаружили серию критических уязвимостей в популярном GPS-трекере
Анонсирован первый SSD диск на российском контроллере Kraftway К1942ВК018