需要采取哪些步骤来减少卡桑德拉UDF中的CVE-2021-44521漏洞？

Question

卡桑德拉运营者担心，他们容易受到CVE-2021-44521中发现的漏洞的影响.

运营商可以采取哪些步骤来减少风险和暴露于该漏洞？

Answer 1

背景

如果在CVE-2021-44521中的节点(默认情况下禁用)启用了脚本化用户定义函数(UDFs)，攻击者就可以利用cassandra.yaml中描述的漏洞：

enable_user_defined_functions: true
enable_scripted_user_defined_functions: true

并且禁用UDF线程(默认值为true)：

enable_user_defined_functions_threads: false

风险

在下列条件下，群集不容易受到利用：

• UDF被禁用(默认配置)。
• 默认情况下启用UDF，启用UDF线程。

对于易受攻击的集群，管理员选择根据建议禁用UDF线程，这样做是不安全的。

攻击者需要权限才能创建用户定义的函数，如果群集上未启用身份验证，则节点尤其易受攻击：

authenticator: AllowAllAuthenticator

攻击者可以使用此漏洞在节点上创建可执行任意代码的函数。

解决方案

禁用UDF线程是不安全的，不建议这样做，因为它实际上禁用了Java中的安全管理器。

在cassandra.yaml中重新启用UDF线程，并重新启动集群中的每个节点以使更改生效：

enable_user_defined_functions_threads: true

溶液

已在ApacheCassandra3.0.26、3.11.12和4.0.2 (卡桑德拉-17352)中修补了CVE-2021-44521 .

如果管理员希望在修补的集群上运行没有线程的用户定义函数(不推荐)，管理员将需要显式地允许具有以下内容的不安全UDF：

allow_insecure_udfs: true

在cassandra.yaml中。如果现有的UDF需要访问java.lang.System (不推荐)，则设置：

allow_extra_insecure_udfs: true

注意，如果在集群上启用了UDF线程(默认)，则不需要升级。