„Apache Software Foundation“ išleido saugos naujinimus, kad išspręstų tris rimtas problemas, turinčias įtakos MINA, „HugeGraph-Server“ ir „Traffic Control“ produktams.
Pažeidžiamumas buvo pataisytas naujose programinės įrangos versijose, išleistose gruodžio 23–25 d. Tačiau atostogų laikotarpis gali lemti lėtesnį pataisų greitį ir padidinti išnaudojimo riziką.
Viena iš klaidų stebima kaip CVE-2024-52046 ir turi įtakos MINA versijoms nuo 2.0 iki 2.0.26, nuo 2.1 iki 2.1.9 ir nuo 2.2 iki 2.2.3. „Apache Software Foundation“ šiai problemai skyrė 10 balų iš 10
„Apache MINA“ yra tinklo taikomųjų programų sistema, kuri suteikia abstrakcijos lygmenį kuriant didelio našumo ir keičiamo dydžio tinklo programas.
Naujausia problema yra „ObjectSerializationDecoder“, kurią sukelia nesaugi Java deserializacija, dėl kurios gali būti vykdomas nuotolinis kodo vykdymas (RCE).
„Apache“ komanda paaiškino, kad pažeidžiamumą galima išnaudoti, jei „IoBuffer#getObject()“ metodas naudojamas kartu su tam tikromis klasėmis.
„Apache“ išsprendė problemą išleisdama 2.0.27, 2.1.10 ir 2.2.4 versijas, kurios patobulino pažeidžiamą komponentą su griežtesniais saugos numatytaisiais parametrais.
Tačiau naujovinti į šias versijas nepakanka. Naudotojai taip pat turi rankiniu būdu nustatyti visų klasių atmetimą, nebent tai būtų aiškiai leidžiama vienu iš trijų pateiktų metodų.
Pažeidžiamumas, turintis įtakos Apache HugeGraph-Server 1.0–1.3 versijoms, yra autentifikavimo apėjimo problema, stebima kaip CVE-2024-43441. Tai sukelia netinkamas autentifikavimo logikos patvirtinimas.
„Apache HugeGraph-Server“ yra grafikų duomenų bazės serveris, leidžiantis efektyviai saugoti, teikti užklausas ir analizuoti grafikus pagrįstus duomenis.
Autentifikavimo apėjimo problema buvo išspręsta 1.5.0 versijoje, kuri yra rekomenduojamas atnaujinimo tikslas HugeGraph-Server vartotojams.
Trečiasis trūkumas nustatytas kaip CVE-2024-45387, o „Apache Software Foundation“ įvertino jį 9,9 kritinio sunkumo balu. Tai SQL įterpimo problema, turinti įtakos 8.0.0–8.0.1 „Traffic Ops“ versijoms.
„Apache Traffic Control“ yra turinio pristatymo tinklo (CDN) valdymo ir optimizavimo įrankis.
Naujausią produkto problemą sukelia nepakankamas SQL užklausų įvesties valymas, leidžiantis savavališkai vykdyti SQL komandas naudojant specialiai sukurtas PUT užklausas.
Problema buvo išspręsta naudojant Apache Traffic Control 8.0.2 versiją, išleistą anksčiau šią savaitę. „Apache“ komanda pažymėjo, kad 7.0.0–8.0.0 versijos neturi įtakos.
Sistemos administratoriams primygtinai rekomenduojama kuo greičiau atnaujinti į naujausią produkto versiją, ypač dėl to, kad įsilaužėliai dažnai nusprendžia streikuoti šiuo metų laiku, kai įmonėse dirba mažiau darbuotojų, o reagavimo laikas ilgesnis.
