ApacheCommonsText中的CVE-2022-42889对Cassandra3.11.x的影响。
创始人
2024-09-05 15:30:26
0

  1. 升级到Apache Commons Text 1.9及以上版本。

  2. 在Cassandra 3.11.x中运行以下命令以检查是否存在该漏洞:

    grep -r "org.apache.commons.text.lookup.StringLookupFactory" /path/to/cassandra/

    如果返回非空,则表示存在漏洞。

  3. 检查Cassandra配置文件中的“secure_distributed_cache_credentials”参数是否被设置,如果设置了,则需要禁用或重新配置该参数。

  4. 如果无法升级Apache Commons Text,可以在Cassandra中实现限制,以防止在反序列化字符串时利用漏洞执行恶意代码。示例如下:

    public class NoOpStringLookupFactory implements StringLookupFactory {
    @Override
    public StringLookup createStringLookup(Map map)
            throws Exception {
        return new NoOpStringLookup();
    }
}

public class NoOpStringLookup implements StringLookup {
    @Override
    public String lookup(String key) {
        return null;
    }
}

String str = deserializeString();
if (str.indexOf("$") >= 0) {
    str = StringSubstitutor.replace(str, new NoOpStringLookupFactory());
}

    该代码通过将“$”字符替换为空值来规避漏洞。

上一篇:ApacheCommonsText版本漏洞

下一篇:ApachecommonsVFS无法解析StringURI的文件。

相关内容

热门资讯

重大推荐“赣牌圈挂可以安装”从... 重大推荐“赣牌圈挂可以安装”从前有开挂辅助插件(有挂辅助)是一款可以让一直输的玩家,快速成为一个“必...
透视规律!wpk透视挂是真的-... 透视规律!wpk透视挂是真的-分享开挂透视辅助技巧(有挂辅助)1、超多福利:超高返利,海量正版游戏,...
每日必看“werplan脚本”... 每日必看“werplan脚本”从前有开挂辅助工具(的确有挂);亲,有的,ai轻松简单,又可以获得无穷...
透视黑科技!大菠萝789辅助器... 透视黑科技!大菠萝789辅助器下载-了解开挂透视辅助技巧(新版有挂)在进入大菠萝789辅助器下载辅助...
玩家攻略推荐“咸宁方片十三张透... 玩家攻略推荐“咸宁方片十三张透视脚本”本来有开挂辅助神器(有挂教程);亲真的是有正版授权,小编(透视...
透视了解!hhpoker有挂一... 透视了解!hhpoker有挂一直输-专业开挂透视辅助工具(存在有挂)hhpoker有挂一直输软件透明...
玩家亲测“新海贝之城辅助可以设... 玩家亲测“新海贝之城辅助可以设置”从前有开挂辅助软件(有挂方法)是一款可以让一直输的玩家,快速成为一...
透视中牌率!云扑克有透视-必备... 您好,云扑克有透视这款游戏可以开挂的,确实是有挂的,需要了解加去威信【136704302】很多玩家在...
推荐一款“闲逸辅助器”一直有开... 推荐一款“闲逸辅助器”一直有开挂辅助安装(有挂存在);推荐一款“闲逸辅助器”一直有开挂辅助安装(有挂...
透视真的!拱趴大菠萝十三水透视... 透视真的!拱趴大菠萝十三水透视挂-分享开挂透视辅助app(的确有挂)1、拱趴大菠萝十三水透视挂系统规...