Vulnerabilidad en Scylla (CVE-2022-29240)

Scylla es una base de datos de big data en tiempo real que es compatible con la API de Apache Cassandra y Amazon DynamoDB. Cuando es descomprimida la trama CQL recibida del usuario, Scylla asume que la longitud sin comprimir proporcionada por el usuario es correcta. Si el usuario proporciona una longitud falsa, que es mayor que la real, parte del búfer de descompresión no será sobrescrita, y será dejada sin inicializar. Esto puede ser explotado de varias maneras, dependiendo de los privilegios del usuario. 1. La principal explotación es que un atacante con acceso al puerto CQL, pero sin cuenta de usuario, puede omitir la autenticación, pero sólo si se presentan otros clientes legítimos haciendo conexiones al clúster, y usan LZ4. 2. El atacante que ya presenta una cuenta de usuario en el clúster puede leer partes de la memoria no inicializada, que pueden contener cosas como contraseñas de otros usuarios o fragmentos de otras consultas/resultados, lo que conlleva a omitir la autorización y revelar información confidencial. El bug ha sido parcheado en las siguientes versiones: Scylla Enterprise: 2020.1.14, 2021.1.12, 2022.1.0. Scylla Open Source: 4.6.7, 5.0.3. Los usuarios que no puedan actualizar deben asegurarse de que ninguno de sus controladores sean conectados al clúster usando la compresión LZ4, y que el puerto CQL de Scylla está detrás del firewall. Además, asegúrese de que ningún cliente no confiable pueda conectarse a Scylla, al configurar la autenticación y aplicando las mitigaciones del punto anterior (firewall, sin compresión LZ4)