Утечка конфиденциальной информации в cqlsh в Apache Cassandra 4.0 позволяет получить доступ к конфиденциальной информации, например паролям, из ранее выполненной команды cqlsh через доступ к локальному файлу ~/.cassandra/cqlsh_history . Пользователям рекомендуется выполнить обновление до версии 4.0.20, которая устраняет эту проблему.
--
Описание. Инструмент командной строки Cassandra, cqlsh, предоставляет функцию истории команд, которая позволяет пользователям вызывать ранее выполненные команды с помощью клавиш со стрелками вверх/вниз.
Эти записи истории сохраняются в файле ~/.cassandra/cqlsh_history в домашнем каталоге пользователя. Однако cqlsh не удаляет конфиденциальную информацию при сохранении истории команд. Это означает, что если пользователь выполняет операции с паролями (например, вход в систему или создание пользователей) в cqlsh, эти пароли постоянно сохраняются в открытом виде в файле истории на диске.
Показать оригинальное описание (EN)
Sensitive Information Leak in cqlsh in Apache Cassandra 4.0 allows access to sensitive information, like passwords, from previously executed cqlsh command via ~/.cassandra/cqlsh_history local file access. Users are recommended to upgrade to version 4.0.20, which fixes this issue. -- Description: Cassandra's command-line tool, cqlsh, provides a command history feature that allows users to recall previously executed commands using the up/down arrow keys. These history records are saved in the ~/.cassandra/cqlsh_history file in the user's home directory. However, cqlsh does not redact sensitive information when saving command history. This means that if a user executes operations involving passwords (such as logging in or creating users) within cqlsh, these passwords are permanently stored in cleartext in the history file on the disk.
Характеристики атаки
Последствия
Строка CVSS v3.1