某款面向混合云的企业级分布式数据库产品,基于 Apache Cassandra 构建,旨在提供高可用性、可监控性和增强的安全层,适用于在任意云环境中处理各种工作负载。本文就 recently 公布的漏洞及其修复要点作简要说明。
漏洞背景:在特定配置下,Apache Cassandra 可能被经过远程身份验证的攻击者利用,执行任意代码。这一风险源自 enable_User_defined_functions、enable_scripted_User_defined_functions 与 enable_User_defined_functions_threads 的组合设置在某些场景下的缺陷。攻击者可通过发送特制请求来在系统上执行任意代码。
[[[IMG_1]]]
漏洞编号与严重程度
CVE-2021-44521,CVSS 评分 7.2,属于高危问题。
简要描述:当系统配置包含 enable_User_defined_functions: true、enable_scripted_User_defined_functions: true、enable_User_defined_functions_threads: false 时,经过认证的远程攻击者可能利用此缺陷执行任意代码。
[[[IMG_2]]]
受影响的版本
相关版本包括 5.1、6.0、6.7、6.8 系列。请在相应的生产环境中核对版本信息,评估风险。
注:为避免误解,本文不涉及具体厂商品牌词,仅就技术要点与风险处置提供信息。
[[[IMG_3]]]
解决方案与建议
- 强烈建议尽快升级到以下最新版本:5.1.29、6.0.17、6.7.16、6.8.20。
- 若暂时无法升级,可考虑回滚回默认配置以降低风险,但这并非长期解决方案,仍需尽快升级到修复版本。
在升级前,请务必进行完整的备份与变更评估,并在测试环境中验证升级后的兼容性与稳定性。
