JFrogは2月15日(米国時間)、「CVE-2021-44521: RCE Vulnerability in Apache Cassandra」において、同社のセキュリティ調査チームが先日Apache Cassandraにリモートコード実行の脆弱性が存在することを発見したと伝えた。この脆弱性はCVE-2021-44521として認識されており、既に修正版が公開されている。
脆弱性の深刻度はCVSSスコア8.4で重要(Important)と分類されており、かつ、悪用が容易であることから、システムに大混乱を与えるリスクが懸念されている。しかし、この脆弱性はApache Cassandraのデフォルト構成では有効になっていない点が幸いとの説明が行われている。
JFrogはすべてのApache Cassandraユーザーに対し、次のバージョンへアップグレードすることを強く推奨している。
- Apache Cassandra version 4.0.2
- Apache Cassandra version 3.11.12
- Apache Cassandra version 3.0.26
アップグレードができない場合は、次の設定で脆弱性を緩和することが推奨されている。
- UDFを積極的に使っていなければ、enable_user_defined_functionsをfalseへ設定する(デフォルト設定)
- UDFが必要であれば、enable_user_defined_functions_threadsをtrueへ設定する(デフォルト設定)
- 信用できないユーザーから作成、実行、オルタリングのパーミッションを削除する
Apache Cassandraは人気の高拡張性分散型NoSQLデータベース。JFrogはその高い人気からNetflix、Twitter、Urban Airship、Constant Contact、Reddit、Cisco、OpenX、Digg、CloudKick、Ooyalaなどの企業が採用していると説明している。