Aerospike数据库是一个高性能的，开源NoSQL数据库，但是，思科公司Talos小组的安全专家却发现了Aerospike数据库服务器一系列安全缺陷和漏洞。Aerospike数据库目前支撑多个著名公司的高性能应用服务，例如Kayak（大型旅游网站），AppNexus（链接广告买家与卖家的即时竞价平台），Adform（数字媒体广告科技公司）, adMarketplace （广告搜索平台）and BlueKai（Oracle基于云的大数据平台）。

Aerospace数据库服务器被发现三个严重漏洞

Talos小组发现Aerospace数据库服务器3.10.0.3及更早版本主要存在3个非常严重的漏洞，包括远程代码执行和信息泄露问题。Talos发布了这些漏洞的技术细节和概念验证代码。

Talos的报告指出，“Talos公开了多个Aerospike数据库的安全漏洞，这些漏洞包括内存泄漏和潜在的远程代码执行。多个需要高性能NoSQL数据库的公司使用了这个数据库，Aerospike在3.11版本修正了这些漏洞。”

报告链接如下：

TALOS-2016-0264 (CVE-2016-9050)

TALOS-2016-0266 (CVE-2016-9052) 

TALOS-2016-0268 (CVE-2016-9054) 

第一个安全漏洞是越界读取问题，主要影响用户消息解析，攻击者可以发送一些特殊的包到监听端口，导致内存泄漏或者使服务器到达拒绝服务的条件。该漏洞在CVE-2016-9050有详细描述。

第二个漏洞是任意代码执行问题，影响“as_sindex__simatch_list_set_binid”函数。该漏洞在CVE-2016-9052有详细描述。

第三个漏洞是堆栈缓冲区溢出，一般出现在查询函数，尤其是“as_sindex__simatch_list_set_binid”函数。攻击者连接监听端口，通过可以触发漏洞的包远程执行任意代码。该漏洞在CVE-2016-9054有详细描述。Aerospike开发小组在2016年12月23日报道过这些漏洞，并于今年1月5日，在版本3.11.0中对解决了这些漏洞。Talos也发表了关于这些技术细节的报告和每个漏洞的概念验证代码。