CVE-2020-13946 | Apache Cassandra RMI漏洞通告

发布时间 2020-09-03


0x00 漏洞概述

CVE   ID

CVE-2020-13946

时    间

2020-09-03

类    型


等    级

中危

远程利用


影响范围

Apache Cassandra 2.1.x: <2.1.22

Apache Cassandra 2.2.x: <2.2.18

Apache Cassandra 3.0.x: <3.0.22

Apache Cassandra 3.11.x: <3.11.8

Apache Cassandra 4.0-beta1: <4.0-beta2



2020年09月01日,Apache官方发布了 Apache Cassandra RMI 重新绑定漏洞的安全通告,该漏洞编号为 (CVE-2020-13946)。该漏洞是由于在Apache Cassandra中,本地攻击者没有权限访问Apache Cassandra进程或配置文件,但本地攻击者可以操作RMI注册表来实行中间人攻击,并获取用于访问JMX接口的用户名和密码,然后利用这些凭证访问JMX接口并实行未经授权的操作。

0x01 漏洞详情

图片7.png

Apache Cassandra是一套开源分布式数据库管理系统,由脸书开发,其基于 亚马逊 Dynamo 的分布式设计和 谷歌 Bigtable 的数据模型来提供NoSQL数据存储,从而提供高可用性和高扩展性,常用于一些流行的网站中。

此外,攻击者可以通过结合一个JRE漏洞(CVE-2019-2684)使得Apache Cassandra RMI重新绑定漏洞(CVE-2020-13946)被远程利用。

CVE-2019-2684是Java SE和Java SE Embedded组件的子组件RMI中的一个漏洞,该漏洞使得未经身份验证的攻击者可以通过多种协议访问网络,从而破坏Java SE和Java SE Embedded。该漏洞被成功利用可能导致的所有Java SE、Java SE Embedded的可访问数据被攻击者进行未授权创建、删除或修改。受该漏洞影响的版本为Java SE:7u211、8u202、11.0.2和12;Java SE Embedded:8u201。

0x02 处置建议

建议及时将Apache Cassandra升级到最新版本。

2.1.x版本升级到2.1.22版本

2.2.x版本升级到2.2.18版本

3.0.x版本升级到3.0.22版本

3.11.x版本升级到3.11.8版本

4.0-beta1版本升级到4.0-beta2版本

下载地址:

https://www.apache.org/dyn/closer.lua/cassandra/2.1.22/apache-cassandra-2.1.22-bin.tar.gz

https://www.apache.org/dyn/closer.lua/cassandra/2.2.18/apache-cassandra-2.2.18-bin.tar.gz

https://www.apache.org/dyn/closer.lua/cassandra/3.0.22/apache-cassandra-3.0.22-bin.tar.gz

https://www.apache.org/dyn/closer.lua/cassandra/3.11.8/apache-cassandra-3.11.8-bin.tar.gz

https://www.apache.org/dyn/closer.lua/cassandra/4.0-beta2/apache-cassandra-4.0-beta2-bin.tar.gz

0x03 相关资讯

https://haxf4rall.com/2020/09/02/cve-2020-13946-apache-cassandra-rmi-rebind-vulnerability-alert/

0x04 参考链接

https://www.mail-archive.com/dev@cassandra.apache.org/msg15735.html

https://seclists.org/oss-sec/2020/q3/143

0x05 时间线

2020-09-01 Apache官方发布预警

2020-09-03 VSRC发布漏洞通告




图片5.png