ApacheCommonsText中的CVE-2022-42889对Cassandra3.11.x的影响。
创始人
2024-09-05 15:30:26
0

  1. 升级到Apache Commons Text 1.9及以上版本。

  2. 在Cassandra 3.11.x中运行以下命令以检查是否存在该漏洞:

    grep -r "org.apache.commons.text.lookup.StringLookupFactory" /path/to/cassandra/

    如果返回非空,则表示存在漏洞。

  3. 检查Cassandra配置文件中的“secure_distributed_cache_credentials”参数是否被设置,如果设置了,则需要禁用或重新配置该参数。

  4. 如果无法升级Apache Commons Text,可以在Cassandra中实现限制,以防止在反序列化字符串时利用漏洞执行恶意代码。示例如下:

    public class NoOpStringLookupFactory implements StringLookupFactory {
    @Override
    public StringLookup createStringLookup(Map map)
            throws Exception {
        return new NoOpStringLookup();
    }
}

public class NoOpStringLookup implements StringLookup {
    @Override
    public String lookup(String key) {
        return null;
    }
}

String str = deserializeString();
if (str.indexOf("$") >= 0) {
    str = StringSubstitutor.replace(str, new NoOpStringLookupFactory());
}

    该代码通过将“$”字符替换为空值来规避漏洞。

上一篇:ApacheCommonsText版本漏洞

下一篇:ApachecommonsVFS无法解析StringURI的文件。

相关内容

热门资讯

透视免费!wpk俱乐部辅助器,... 透视免费!wpk俱乐部辅助器,wpk插件辅助,科技教程(有挂揭秘)1、每一步都需要思考,不同水平的挑...
透视游戏!wpk真吗,wpk透... 透视游戏!wpk真吗,wpk透视怎么安装,科技教程(有挂规律)1、金币登录送、破产送、升级送、活动送...
透视美元局!wpk有辅助器吗,... 透视美元局!wpk有辅助器吗,wpk德州局透视,规律教程(有挂黑科技)运wpk德州局透视辅助工具,进...
透视好友房!wpk俱乐部是真的... 透视好友房!wpk俱乐部是真的吗,wpk安卓下载辅助,解说技巧(有挂黑科技)1、让任何用户在无需wp...
透视最新!如何下载wpk透视版... 透视最新!如何下载wpk透视版,wpk私人辅助,详细教程(有挂脚本)如何下载wpk透视版软件透明挂微...
透视私人局!wpk有那种辅助吗... 透视私人局!wpk有那种辅助吗,wpk俱乐部有没有辅助,专业教程(有挂教程)1、wpk俱乐部有没有辅...
透视了解!wpk模拟器是什么,... 透视了解!wpk模拟器是什么,wpk模拟器是什么,爆料教程(有挂细节);1、进入游戏-大厅左侧-新手...
辅助透视!wpk插件,wpk透... 辅助透视!wpk插件,wpk透视辅助靠谱吗,攻略教程(有挂细节);所有人都在同一条线上,像星星一样排...
透视科技!wpk控制牌是真的吗... 透视科技!wpk控制牌是真的吗,wpk透视辅助,规律教程(有挂技巧);1、超多福利:超高返利,海量正...
透视辅助!wpk作弊是真的吗,... 透视辅助!wpk作弊是真的吗,wpk私人局有透视吗,安装教程(有挂插件);1、wpk私人局有透视吗透...