知识库

Neo4j 4.2.x 安全漏洞已在 4.2.8 版本中修复

受影响的产品

2021-06-18 之前的 Neo4j 4.2.x 企业版和 Aura 云

不受影响的版本:Neo4j 社区版,所有 4.2 之前的企业版以及 2021-06-18 之后的 Aura 云。此外,Neo4j 4.3.x 包含此修复。

问题描述

Neo4j 工程和安全团队已发现 Neo4j 4.2 版本中存在一个被归类为“未授权访问”的问题。任何级别的数据库访问用户都可能绕过安全措施并获得完全的管理员权限。

在事务中执行管理命令的用户可能会保留该命令在事务持续期间使用的提升的 Cypher 权限。对于只读管理命令(例如 SHOW CURRENT USER),这将是完全读取权限,而对于写入系统命令(例如 CREATE DATABASE),这将是对系统的完全访问权限。

解决方案

Neo4j 已发布 Neo4j Enterprise 4.2.8 来解决此问题,并建议客户立即应用此补丁。此补丁需要在单台服务器上进行停机,并且可以通过集群的滚动升级来执行,以确保没有停机时间。Aura 客户无需采取任何进一步的操作,因为 Neo4j 已于 2021-06-18 将补丁发布到 Aura 云。