martes, 26 de junio de 2018

Apache Cassandra corrige un error de regresión introducido hace 2 años

Se ha corregido una vulnerabilidad introducida como parte de la solución propuesta para el CVE-2015-0225. Esta vulnerabilidad se trata de un error de regresión que podría permitir a un atacante sin autenticar llevar a cabo ejecución de código remota.
Apache Cassandra es una base de datos NoSQL distribuida y basada en un modelo de almacenamiento de 'clave-valor', de código abierto que está escrita en Java. Permite grandes volúmenes de datos en forma distribuida. Su objetivo principal es la escalabilidad lineal y la disponibilidad. La arquitectura distribuida de Cassandra está basada en una serie de nodos iguales que se comunican con un protocolo P2P con lo que la redundancia es máxima.

El fallo, al que se le ha asignado el identificador CVE-2018-8016, permite a un atacante remoto ejecutar código arbitrario bajo una configuración por defecto del sistema. El fallo se debe a que se podría unir la interfaz JMX/RMI al resto de interfaces del sistema, permitiendo la ejecución de código Java a través de peticiones RMI especialmente manipuladas.

Las versiones afectadas por esta vulnerabilidad van desde la 3.8 a la 3.11.1, ambas inclusive. El fallo ha sido solucionado en la versión 3.11.2 del popular motor de base de datos no relacional.



Fernando Ramírez
@fdrg21
Más información: