CVE-2020-13946 | Apache Cassandra RMI漏洞通告
发布时间 2020-09-030x00 漏洞概述
CVE ID | CVE-2020-13946 | 时 间 | 2020-09-03 |
类 型 | 等 级 | 中危 | |
远程利用 | 影响范围 | Apache Cassandra 2.1.x: <2.1.22 Apache Cassandra 2.2.x: <2.2.18 Apache Cassandra 3.0.x: <3.0.22 Apache Cassandra 3.11.x: <3.11.8 Apache Cassandra 4.0-beta1: <4.0-beta2 |
2020年09月01日,Apache官方发布了 Apache Cassandra RMI 重新绑定漏洞的安全通告,该漏洞编号为 (CVE-2020-13946)。该漏洞是由于在Apache Cassandra中,本地攻击者没有权限访问Apache Cassandra进程或配置文件,但本地攻击者可以操作RMI注册表来执行中间人攻击,并获取用于访问JMX接口的用户名和密码,然后利用这些凭证访问JMX接口并执行未经授权的操作。
0x01 漏洞详情
Apache Cassandra是一套开源分布式数据库管理系统,由Facebook开发,其基于 Amazon Dynamo 的分布式设计和 Google Bigtable 的数据模型来提供NoSQL数据存储,从而提供高可用性和高扩展性,常用于一些流行的网站中。
此外,攻击者可以通过结合一个JRE漏洞(CVE-2019-2684)使得Apache Cassandra RMI重新绑定漏洞(CVE-2020-13946)被远程利用。
CVE-2019-2684是Java SE和Java SE Embedded组件的子组件RMI中的一个漏洞,该漏洞使得未经身份验证的攻击者可以通过多种协议访问网络,从而破坏Java SE和Java SE Embedded。该漏洞被成功利用可能导致的所有Java SE、Java SE Embedded的可访问数据被攻击者进行未授权创建、删除或修改。受该漏洞影响的版本为Java SE:7u211、8u202、11.0.2和12;Java SE Embedded:8u201。
0x02 处置建议
建议及时将Apache Cassandra升级到最新版本。
2.1.x版本升级到2.1.22版本
2.2.x版本升级到2.2.18版本
3.0.x版本升级到3.0.22版本
3.11.x版本升级到3.11.8版本
4.0-beta1版本升级到4.0-beta2版本
下载地址:
https://www.apache.org/dyn/closer.lua/cassandra/2.1.22/apache-cassandra-2.1.22-bin.tar.gz
https://www.apache.org/dyn/closer.lua/cassandra/2.2.18/apache-cassandra-2.2.18-bin.tar.gz
https://www.apache.org/dyn/closer.lua/cassandra/3.0.22/apache-cassandra-3.0.22-bin.tar.gz
https://www.apache.org/dyn/closer.lua/cassandra/3.11.8/apache-cassandra-3.11.8-bin.tar.gz
https://www.apache.org/dyn/closer.lua/cassandra/4.0-beta2/apache-cassandra-4.0-beta2-bin.tar.gz
0x03 相关新闻
https://haxf4rall.com/2020/09/02/cve-2020-13946-apache-cassandra-rmi-rebind-vulnerability-alert/
0x04 参考链接
https://www.mail-archive.com/dev@cassandra.apache.org/msg15735.html
https://seclists.org/oss-sec/2020/q3/143
0x05 时间线
2020-09-01 Apache官方发布预警
2020-09-03 VSRC发布漏洞通告