Το Ίδρυμα Λογισμικού Apache κυκλοφόρησε ενημερώσεις ασφαλείας για την αντιμετώπιση τριών σοβαρών προβλημάτων που επηρεάζουν τα προϊόντα MINA, HugeGraph-Server και Traffic Control.
Τα τρωτά σημεία επιδιορθώθηκαν σε νέες εκδόσεις λογισμικού που κυκλοφόρησαν μεταξύ 23 και 25 Δεκεμβρίου. Ωστόσο, η περίοδος των διακοπών μπορεί να οδηγήσει σε χαμηλότερο ρυθμό ενημέρωσης κώδικα και αυξημένο κίνδυνο εκμετάλλευσης.
Ένα από τα σφάλματα παρακολουθείται ως CVE-2024-52046 και επηρεάζει τις εκδόσεις MINA 2.0 έως 2.0.26, 2.1 έως 2.1.9 και 2.2 έως 2.2.3. Το ζήτημα έλαβε βαθμολογία κρίσιμης σοβαρότητας 10 στα 10 από το Apache Software Foundation
Το Apache MINA είναι ένα πλαίσιο εφαρμογών δικτύου που παρέχει ένα επίπεδο αφαίρεσης για την ανάπτυξη εφαρμογών δικτύου υψηλής απόδοσης και κλιμάκωσης.
Το πιο πρόσφατο πρόβλημα έγκειται στον ‘ObjectSerializationDecoder’ που προκαλείται από μη ασφαλή αποσειριοποίηση Java, που ενδεχομένως οδηγεί σε απομακρυσμένη εκτέλεση κώδικα (RCE).
Η ομάδα του Apache διευκρίνισε ότι η ευπάθεια είναι εκμεταλλεύσιμη εάν η μέθοδος ‘IoBuffer#getObject()’ χρησιμοποιείται σε συνδυασμό με ορισμένες κλάσεις.
Ο Apache αντιμετώπισε το πρόβλημα με την κυκλοφορία των εκδόσεων 2.0.27, 2.1.10 και 2.2.4, οι οποίες βελτίωσαν το ευάλωτο στοιχείο με αυστηρότερες προεπιλογές ασφαλείας.
Ωστόσο, η αναβάθμιση σε αυτές τις εκδόσεις δεν αρκεί. Οι χρήστες πρέπει επίσης να ορίσουν με μη αυτόματο τρόπο την απόρριψη όλων των κλάσεων εκτός εάν επιτρέπεται ρητά ακολουθώντας μία από τις παρέχονται τρεις μέθοδοι.
Η ευπάθεια που επηρεάζει τις εκδόσεις 1.0 έως 1.3 του Apache HugeGraph-Server, είναι ένα πρόβλημα παράκαμψης ελέγχου ταυτότητας που παρακολουθείται ως CVE-2024-43441. Προκαλείται από ακατάλληλη επικύρωση της λογικής ελέγχου ταυτότητας.
Ο Apache HugeGraph-Server είναι ένας διακομιστής βάσης δεδομένων γραφημάτων που επιτρέπει την αποτελεσματική αποθήκευση, αναζήτηση και ανάλυση δεδομένων που βασίζονται σε γραφήματα.
Το πρόβλημα παράκαμψης ελέγχου ταυτότητας ήταν αναφέρεται στην έκδοση 1.5.0που είναι ο προτεινόμενος στόχος αναβάθμισης για τους χρήστες HugeGraph-Server.
Το τρίτο ελάττωμα προσδιορίζεται ως CVE-2024-45387 και το Apache Software Foundation το βαθμολόγησε με 9,9 κρίσιμη βαθμολογία σοβαρότητας. Είναι ένα πρόβλημα έγχυσης SQL που επηρεάζει τις εκδόσεις 8.0.0 έως 8.0.1 του Traffic Ops.
Το Apache Traffic Control είναι ένα εργαλείο διαχείρισης και βελτιστοποίησης Δικτύου Παράδοσης Περιεχομένου (CDN).
Το πιο πρόσφατο πρόβλημα στο προϊόν προκαλείται από την ανεπαρκή απολύμανση εισόδου των ερωτημάτων SQL, επιτρέποντας την αυθαίρετη εκτέλεση εντολών SQL χρησιμοποιώντας ειδικά δημιουργημένα αιτήματα PUT.
Το πρόβλημα επιδιορθώθηκε στο Apache Traffic Control έκδοση 8.0.2που κυκλοφόρησε νωρίτερα αυτή την εβδομάδα. Η ομάδα του Apache σημείωσε ότι οι εκδόσεις 7.0.0 έως και 8.0.0 δεν επηρεάζονται.
Συνιστάται έντονα στους διαχειριστές συστήματος να αναβαθμίσουν στην πιο πρόσφατη έκδοση προϊόντος το συντομότερο δυνατό, ειδικά καθώς οι χάκερ επιλέγουν συχνά να χτυπήσουν αυτή την εποχή του χρόνου που οι εταιρείες έχουν λιγότερους υπαλλήλους σε υπηρεσία και οι χρόνοι απόκρισης είναι μεγαλύτεροι.
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια: Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση; Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο. Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
