検出

Apache Cassandra < 2.1.22 / 2.2.x < 2.2.18 / 3.0.x < 3.0.22 / 3.11.x < 3.11.8 の情報漏洩の脆弱性

medium Nessus プラグイン ID 143421

Language:

概要

リモートホストで実行されているデータベースは、情報漏洩の脆弱性による影響を受けます。

説明

リモートホストで実行されているApache Cassandraのバージョンは、2.1.22、2.2.18、3.0.22、3.11.8および4.0-beta2より前です。したがって、情報漏洩の脆弱性の影響を受けます。Apache Cassandraプロセスまたは構成ファイルにアクセスできない認証されていないローカルの攻撃者は、RMIレジストリを操作して中間者攻撃を実行し、JMXインターフェースへのアクセスに使用されるユーザー名とパスワードを取得できます。JRE脆弱性(CVE-2019-2684)により、この問題がリモートで悪用される可能性があります。この脆弱性が最大の脅威となるのは、データの機密性と整合性、ならびにシステムの可用性です。

Nessusはこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Apache Cassandraバージョン 2.1.22、2.2.18、3.0.22、3.11.8以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?e6f77f3e

http://www.nessus.org/u?c86aa48e

http://www.nessus.org/u?d6e6f046

http://www.nessus.org/u?d880781f

プラグインの詳細

深刻度: Medium

ID: 143421

ファイル名: apache_cassandra_rmi_id_2020.nasl

バージョン: 1.2

タイプ: combined

エージェント: unix

ファミリー: Databases

公開日: 2020/12/2

更新日: 2020/12/3

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.2

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

CVSS スコアのソース: CVE-2020-13946

CVSS v3

リスクファクター: Medium

基本値: 5.9

現状値: 5.2

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:apache:cassandra

必要な KB アイテム: installed_sw/Apache Cassandra

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2020/9/1

脆弱性公開日: 2020/9/1

参照情報

CVE: CVE-2020-13946

CWE: 668