Apache Cassandra позволяет удаленному пользователю выполнить произвольный код на целевой системе.

В базе данных Apache Cassandra была обнаружена уязвимость, позволяющая удаленному пользователю скомпрометировать систему. Брешь с идентификатором CVE-2015-0225 нашел исследователь безопасности Георгий Гешев. Она затрагивает версии 1.2.х, 2.0.х и 2.1.х программного продукта.

Уязвимость существует из-за того, что в конфигурации по умолчанию Cassandra привязывает интерфейс JMX/RMI ко всем сетевым интерфейсам без предварительной аутентификации. Поскольку RMI позволяет осуществить транспортировку и удаленное выполнение сериализованного Java-кода, любой злоумышленник с доступом к интерфейсу может выполнить произвольный код с правами текущего пользователя.

Для того чтобы исправить уязвимость, следует установить исправление с сайта производителя. Поскольку линейка 1.2.х более не поддерживается, ее пользователям потребуется перейти на более новые версии Apache Cassandra