أصدرت مؤسسة Apache Software Foundation تحديثات أمنية لمعالجة ثلاث مشكلات خطيرة تؤثر على منتجات MINA وHugeGraph-Server وTraffic Control.
تم تصحيح الثغرات الأمنية في إصدارات البرامج الجديدة التي تم إصدارها في الفترة ما بين 23 و25 ديسمبر. ومع ذلك، قد تؤدي فترة العطلة إلى تباطؤ معدل التصحيح وزيادة خطر الاستغلال.
يتم تعقب أحد الأخطاء كما”https://nvd.nist.gov/vuln/detail/CVE-2024-52046″ الهدف=”_blank” rel=”nofollow noopener”>CVE-2024-52046ويؤثر على إصدارات MINA من 2.0 إلى 2.0.26، ومن 2.1 إلى 2.1.9، ومن 2.2 إلى 2.2.3. حصلت المشكلة على درجة خطورة حرجة تبلغ 10 من أصل 10 من مؤسسة Apache Software Foundation
Apache MINA هو إطار عمل لتطبيق الشبكة يوفر طبقة تجريد لتطوير تطبيقات الشبكة عالية الأداء وقابلة للتطوير.
تكمن المشكلة الأخيرة في “ObjectSerializationDecoder” الناجم عن إلغاء تسلسل Java غير الآمن، مما قد يؤدي إلى تنفيذ التعليمات البرمجية عن بعد (RCE).
أوضح فريق Apache أن الثغرة الأمنية قابلة للاستغلال إذا تم استخدام أسلوب “IoBuffer#getObject()” مع فئات معينة.
عالج Apache المشكلة من خلال إصدار الإصدارات 2.0.27 و2.1.10 و2.2.4، والتي عززت المكون الضعيف من خلال إعدادات أمان افتراضية أكثر صرامة.
ومع ذلك، فإن الترقية إلى تلك الإصدارات ليست كافية. يحتاج المستخدمون أيضًا إلى تعيين رفض جميع الفئات يدويًا ما لم يُسمح بذلك صراحةً باتباع أحد العناصر”https://lists.apache.org/thread/4wxktgjpggdbto15d515wdctohb0qmv8″ الهدف=”_blank” rel=”nofollow noopener”> ثلاث طرق المقدمة.
الثغرة الأمنية التي تؤثر على إصدارات Apache HugeGraph-Server من 1.0 إلى 1.3، هي مشكلة تجاوز مصادقة يتم تتبعها على أنها”https://nvd.nist.gov/vuln/detail/CVE-2024-43441″ الهدف=”_blank” rel=”nofollow noopener”>CVE-2024-43441. يحدث ذلك بسبب التحقق غير الصحيح من منطق المصادقة.
Apache HugeGraph-Server هو خادم قاعدة بيانات رسم بياني يتيح تخزين البيانات المستندة إلى الرسم البياني والاستعلام عنها وتحليلها بكفاءة.
كانت مشكلة تجاوز المصادقة”https://lists.apache.org/thread/h2607yv32wgcrywov960jpxhvsmmlf12″ الهدف=”_blank” rel=”nofollow noopener”>تناولها في الإصدار 1.5.0، وهو هدف الترقية الموصى به لمستخدمي HugeGraph-Server.
تم تحديد العيب الثالث على أنه”https://nvd.nist.gov/vuln/detail/CVE-2024-45387″ الهدف=”_blank” rel=”nofollow noopener”>CVE-2024-45387وصنفته مؤسسة Apache Software Foundation بدرجة خطورة حرجة تبلغ 9.9. إنها مشكلة إدخال SQL تؤثر على إصدارات Traffic Ops من 8.0.0 إلى 8.0.1.
Apache Traffic Control عبارة عن أداة لإدارة وتحسين شبكة توصيل المحتوى (CDN).
أحدث مشكلة في المنتج ناتجة عن عدم كفاية تحسين المدخلات لاستعلامات SQL، مما يسمح بتنفيذ أوامر SQL عشوائيًا باستخدام طلبات PUT المصممة خصيصًا.
تم إصلاح المشكلة في التحكم في حركة مرور Apache”https://lists.apache.org/thread/t38nk5n7t8w3pb66z7z4pqfzt4443trr” الهدف=”_blank” rel=”nofollow noopener”> الإصدار 8.0.2، صدر في وقت سابق من هذا الأسبوع. لاحظ فريق Apache أن الإصدارات من 7.0.0 إلى 8.0.0 لم تتأثر.
يوصى بشدة مسؤولي النظام بالترقية إلى أحدث إصدار للمنتج في أقرب وقت ممكن، خاصة وأن المتسللين غالبًا ما يختارون الهجوم خلال هذا الوقت من العام عندما يكون لدى الشركات عدد أقل من الموظفين في الخدمة وتكون أوقات الاستجابة أطول.