Apache Software Foundation выпустила патчи для устранения трех серьезных проблем, затрагивающих продукты MINA, HugeGraph-Server и Traffic Control. Уязвимости получили 9,9 и 10 баллов по шкале CVSS, то есть оцениваются как критические.

Одна из ошибок отслеживается под идентификатором CVE-2024-52046 и затрагивает MINA версий с 2.0 по 2.0.26, с 2.1 по 2.1.9 и с 2.2 по 2.2.3. Эта уязвимость была оценена на 10 баллов из 10 возможных.

Apache MINA представляет собой фреймворк для сетевых приложений, который обеспечивает уровень абстракции для разработки высокопроизводительных и масштабируемых сетевых решений.

Уязвимости была обнаружена в ObjectSerializationDecoder и вызвана небезопасной десериализацией Java, что потенциально могло привести к удаленному выполнению кода (RCE). Разработчики пояснили, что уязвимость может использоваться, если метод IoBuffer#getObject() применяется в сочетании с определенными классами.

Проблема устранена в версиях 2.0.27, 2.1.10 и 2.2.4, где уязвимый компонент получил более строгие настройки безопасности по умолчанию. Однако подчеркивается, что одного лишь обновления до указанных выше версий будет недостаточно. Пользователям также придется вручную установить запрет на использование определенных классов.

Еще одна уязвимость (CVE-2024-43441) затрагивает Apache HugeGraph-Server версий с 1.0 по 1.3, и представляет собой обход аутентификации, связанный с некорректной логикой валидации.

Apache HugeGraph-Server — это система графовой БД, которая обеспечивает эффективное хранение, запрос и анализ данных на основе графов.

Уязвимость обхода аутентификации исправили в версии 1.5.0, до которой теперь рекомендуется обновиться пользователям HugeGraph-Server.

Третья уязвимость была выявлена в Apache Traffic Control — инструменте для управления и оптимизации сетей доставки контента (CDN). Проблема получила идентификатор CVE-2024-45387 и оценивается в 9,9 балла из 10 возможных, то есть тоже является критической. Баг связан с SQL-инъекциями и затрагивает Traffic Ops версий 8.0.0–8.0.1.

Уязвимость была вызвана недостаточной очисткой входных данных SQL-запросов, что позволяло выполнять произвольные SQL-команды с помощью специально подготовленных PUT-запросов.

Ошибка была устранена в Apache Traffic Control версии 8.0.2, выпущенной ранее на этой неделе. При этом разработчики Apache отмечают, что версии от 7.0.0 до 8.0.0 вообще не подвержены этому багу.

Системным администраторам настоятельно рекомендуется как можно скорее обновиться до новейших версий, так как хакеры нередко устраивают атаки в период праздников, когда в компаниях доступно меньше сотрудников, а время реагирования на инциденты увеличивается.

Теги: Новости, Apache, HugeGraph