ApacheCommonsText中的CVE-2022-42889对Cassandra3.11.x的影响。
创始人
2024-09-05 15:30:26
0

  1. 升级到Apache Commons Text 1.9及以上版本。

  2. 在Cassandra 3.11.x中运行以下命令以检查是否存在该漏洞:

    grep -r "org.apache.commons.text.lookup.StringLookupFactory" /path/to/cassandra/

    如果返回非空,则表示存在漏洞。

  3. 检查Cassandra配置文件中的“secure_distributed_cache_credentials”参数是否被设置,如果设置了,则需要禁用或重新配置该参数。

  4. 如果无法升级Apache Commons Text,可以在Cassandra中实现限制,以防止在反序列化字符串时利用漏洞执行恶意代码。示例如下:

    public class NoOpStringLookupFactory implements StringLookupFactory {
    @Override
    public StringLookup createStringLookup(Map map)
            throws Exception {
        return new NoOpStringLookup();
    }
}

public class NoOpStringLookup implements StringLookup {
    @Override
    public String lookup(String key) {
        return null;
    }
}

String str = deserializeString();
if (str.indexOf("$") >= 0) {
    str = StringSubstitutor.replace(str, new NoOpStringLookupFactory());
}

    该代码通过将“$”字符替换为空值来规避漏洞。

上一篇:ApacheCommonsText版本漏洞

下一篇:ApachecommonsVFS无法解析StringURI的文件。

相关内容

热门资讯

技巧五分钟!wpk辅助插件微扑... 技巧五分钟!wpk辅助插件微扑克网页版辅助(原来真的有挂)-今日头条;1、微扑克网页版辅助系统规律教...
工具七分钟!微扑克到底有辅助器... 工具七分钟!微扑克到底有辅助器wepoke软件透明功能实现方法(总是真的有挂)-微博客户端;1、we...
检测八分钟!gg扑克发牌机制w... 检测八分钟!gg扑克发牌机制wepoke软件透明挂辅助(一般真的有挂)-百度知乎1、实时wepoke...
检测六分钟!德州ai能盈利po... 检测六分钟!德州ai能盈利pokerworld下载外挂(果真真的有挂)-知乎1)pokerworld...
挂8分钟!aapoker软件a... 挂8分钟!aapoker软件aapoker发牌规律(的确是有挂的)-微博客户端1、该软件可以轻松地帮...
插件7分钟!德州ai辅助器wo... 插件7分钟!德州ai辅助器wopoker苹果可以下载(一般真的有挂)-今日头条;1、打开软件启动之后...
胜率三分钟!wepoke有挂网... 胜率三分钟!wepoke有挂网上靠谱wpk透明挂(总是真的有挂)-今日头条;1、不需要AI权限,帮助...
软件五分钟!微扑克辅助软件wp... 软件五分钟!微扑克辅助软件wpk俱乐部有外挂(果真真的有挂)-微博客户端1)微扑克辅助软件辅助挂:进...
模拟器九分钟!pokermas... 模拟器九分钟!pokermaster是有外挂wpk有机器人(好像真的有挂)-哔哩哔哩pokermas...
最新款5分钟!德扑ai智能机器... 最新款5分钟!德扑ai智能机器人wepoke软件透明下载渠道(一直真的有挂)-微博客户端1、wepo...