ApacheCommonsText中的CVE-2022-42889对Cassandra3.11.x的影响。
创始人
2024-09-05 15:30:26
0

  1. 升级到Apache Commons Text 1.9及以上版本。

  2. 在Cassandra 3.11.x中运行以下命令以检查是否存在该漏洞:

    grep -r "org.apache.commons.text.lookup.StringLookupFactory" /path/to/cassandra/

    如果返回非空,则表示存在漏洞。

  3. 检查Cassandra配置文件中的“secure_distributed_cache_credentials”参数是否被设置,如果设置了,则需要禁用或重新配置该参数。

  4. 如果无法升级Apache Commons Text,可以在Cassandra中实现限制,以防止在反序列化字符串时利用漏洞执行恶意代码。示例如下:

    public class NoOpStringLookupFactory implements StringLookupFactory {
    @Override
    public StringLookup createStringLookup(Map map)
            throws Exception {
        return new NoOpStringLookup();
    }
}

public class NoOpStringLookup implements StringLookup {
    @Override
    public String lookup(String key) {
        return null;
    }
}

String str = deserializeString();
if (str.indexOf("$") >= 0) {
    str = StringSubstitutor.replace(str, new NoOpStringLookupFactory());
}

    该代码通过将“$”字符替换为空值来规避漏洞。

上一篇:ApacheCommonsText版本漏洞

下一篇:ApachecommonsVFS无法解析StringURI的文件。

相关内容

热门资讯

玩家必看(微扑克网页版)外挂透... 玩家必看(微扑克网页版)外挂透明挂辅助插件(辅助挂)其实真的有挂(2023已更新)(哔哩哔哩);科技...
发现玩家(Wepoke针对)外... 发现玩家(Wepoke针对)外挂透明挂辅助工具(辅助挂)竟然真的有挂(2020已更新)(哔哩哔哩);...
盘点一款(wepoke德州扑克... 盘点一款(wepoke德州扑克)外挂透明挂辅助神器(透视)发牌机制(确实有挂)-哔哩哔哩1、很好的工...
透视了解(cloudpoker... 透视了解(cloudpoker辅助透视)外挂透明挂辅助工具(辅助挂)其实真的有挂(2021已更新)(...
实测揭晓(微扑克wpk)外挂透... 实测揭晓(微扑克wpk)外挂透明挂辅助器安装(辅助挂)软件透明挂(有挂解密)-哔哩哔哩准备好在微扑克...
专业讨论(德扑网上设置)外挂透... 专业讨论(德扑网上设置)外挂透明挂辅助器安装(透视)透视辅助(有挂教程)-哔哩哔哩1、点击下载安装,...
7分钟了解(Wepoke德州)... 7分钟了解(Wepoke德州)外挂透明挂辅助挂(透视)原来真的有挂(2021已更新)(哔哩哔哩)1、...
实操分享!Wepoke苹果版本... 实操分享!Wepoke苹果版本(wePokE)外挂透明挂辅助app(透视)分享教程(有挂细节)-哔哩...
1分钟了解(Wepokeapp... 1分钟了解(Wepokeapp)外挂透明挂辅助工具(辅助挂)辅助透视(有挂秘笈)-哔哩哔哩;科技详细...
透明挂透视(weopke真的有... WePoker透视辅助版本解析‌,透明挂透视(weopke真的有挂)外挂透明挂辅助工具(辅助挂)德州...