Apache軟件基金會(huì)近期發(fā)布了關(guān)鍵的安全更新，旨在解決MINA、HugeGraph-Server和Traffic Control產(chǎn)品中存在的三個(gè)重大安全問(wèn)題。這些漏洞已在12月23日至25日期間發(fā)布的新軟件版本中通過(guò)補(bǔ)丁進(jìn)行了修復(fù)。然而，由于正值假期，補(bǔ)丁的部署速度可能會(huì)受到影響，從而增加漏洞被利用的風(fēng)險(xiǎn)。

其中，CVE-2024-52046是針對(duì)MINA框架的一個(gè)嚴(yán)重漏洞，影響了MINA的2.0至2.0.26、2.1到2.1.9以及2.2到2.2.3版本。Apache軟件基金會(huì)為這一漏洞評(píng)定了最高級(jí)別的嚴(yán)重性評(píng)分。MINA是一個(gè)網(wǎng)絡(luò)應(yīng)用程序框架，為開(kāi)發(fā)者提供了構(gòu)建高性能和可擴(kuò)展網(wǎng)絡(luò)應(yīng)用程序所需的抽象層。然而，由于存在不安全的Java去序列化問(wèn)題，特別是“ObjectSerializationDecoder”可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行（RCE）。Apache團(tuán)隊(duì)已經(jīng)通過(guò)發(fā)布MINA的2.0.27、2.1.10和2.2.4版本來(lái)修復(fù)這一問(wèn)題，并建議用戶(hù)升級(jí)至這些版本，并手動(dòng)設(shè)置所有類(lèi)的拒絕，除非按照提供的三個(gè)方法之一明確允許。

對(duì)于A(yíng)pache HugeGraph-Server，一個(gè)標(biāo)記為CVE-2024-43441的漏洞允許繞過(guò)身份驗(yàn)證，影響了版本1.0到1.3。HugeGraph-Server是一個(gè)圖形數(shù)據(jù)庫(kù)服務(wù)器，能夠高效地存儲(chǔ)、查詢(xún)和分析圖形數(shù)據(jù)。這一問(wèn)題是由于對(duì)身份驗(yàn)證邏輯的不正確驗(yàn)證引起的，已在1.5.0版本中得到了修復(fù)。Apache建議HugeGraph-Server用戶(hù)升級(jí)至1.5.0版本以消除此漏洞。

第三個(gè)漏洞是CVE-2024-45387，一個(gè)針對(duì)TrafficOps的SQL注入漏洞，影響了版本8.0.0至8.0.1。TrafficOps是Apache流量控制的一部分，用于內(nèi)容交付網(wǎng)絡(luò)（CDN）的管理和優(yōu)化。該漏洞是由于SQL查詢(xún)輸入消毒不足，允許通過(guò)特殊設(shè)計(jì)的PUT請(qǐng)求執(zhí)行任意SQL命令。Apache軟件基金會(huì)為這一漏洞評(píng)定了接近最高級(jí)別的嚴(yán)重性評(píng)分。

為確保系統(tǒng)的安全性，建議所有相關(guān)用戶(hù)盡快應(yīng)用這些安全更新，并采取必要的措施來(lái)減少漏洞被利用的風(fēng)險(xiǎn)。

本公眾號(hào)所發(fā)布的文章皆源自于互聯(lián)網(wǎng)轉(zhuǎn)載或作者投稿并授予的原創(chuàng)作品，文章末尾有詳細(xì)出處標(biāo)注，其內(nèi)含內(nèi)容及圖片之版權(quán)均屬于原網(wǎng)站或作者本人，本公眾號(hào)對(duì)此不持立場(chǎng)，若發(fā)現(xiàn)有非故意侵權(quán)或轉(zhuǎn)載失當(dāng)之處，敬請(qǐng)隨時(shí)聯(lián)系我們進(jìn)行妥善處理！文章來(lái)源：https://www.bleepingcomputer.com

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門(mén)】免費(fèi)試用

本文來(lái)源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話(huà)：400-869-9193 負(fù)責(zé)人：張明