Die Sicherheitsexperten von JFrog haben in der freien No-SQL-Datenbank Apache Cassandra eine kritische Sicherheitslücke entdeckt. Unter Umständen ermögliche die Lücke das Ausführen von Code über einen entfernten Angreifer.

Die Remote-Code-Execution-Schwachstelle in Apache Cassandra hat die Referenz CVE-2021-44521. Die Sicherheitslücke sei leicht auszunutzen und habe das Potenzial, auf Systemen Schaden anzurichten, teilt das JFrog Security Team in einem Blogpost mit. Abmildernd wirke aber, dass die Sicherheitslücke in der Standardkonfiguration von Cassandra nicht auftrete, so die Entdecker der Lücke weiter. Von dem Problem betroffen seien Apache Cassandra 3.0.x, 3.11.x und 4.0.x. Die Cassandra-Entwickler haben bereits reagiert und schließen mit den Versionen 3.0.26, 3.11.12 sowie 4.0.2 die Sicherheitslücken.

Wie die Experten mitteilen, sei bei den Untersuchungen der Cassandra UDF Sandbox-Implementierung aufgefallen, dass ein Mix aus bestimmten (nicht standardmäßigen) Konfigurationsoptionen es uns ermöglichen könnte, die Nashorn-Engine zu missbrauchen, die Sandbox zu umgehen und Remotecodeausführung zu erreichen.

Cassandra-Installationen seien anfällig für CVE-2021-44521, wenn die Konfigurationsdatei cassandra.yaml die folgenden Definitionen enthält:

enable_user_defined_functions: true
enable_scripted_user_defined_functions: true
enable_user_defined_functions_threads: false

Damit seien aber auch schon alle nicht standardmäßigen Konfigurationsoptionen genannt, die erforderlich seien. Ansonsten dürften bei der Aktivierung von UDFs alle Benutzer beliebige UDFs erstellen und ausführen. Dies schließe auch anonyme Anmeldungen ein, die standardmäßig aktiviert seien.