بنیاد نرمافزار Apache بهروزرسانیهای امنیتی را منتشر کرده است تا سه مشکل جدی که محصولات MINA، HugeGraph-Server و Traffic Control را تحت تأثیر قرار میدهند، برطرف کند.
آسیبپذیریها در نسخههای جدید نرمافزار که بین ۲۳ تا ۲۵ دسامبر منتشر شدند، رفع شدهاند. با این حال، دوره تعطیلات ممکن است منجر به کاهش سرعت اعمال اصلاحات و افزایش خطر سوءاستفاده از این آسیبپذیریها شود.
یکی از باگها با شناسه CVE-2024-52046 دنبال میشود و نسخههای MINA از ۲٫۰ تا ۲٫۰٫۲۶، ۲٫۱ تا ۲٫۱٫۹، و ۲٫۲ تا ۲٫۲٫۳ را تحت تأثیر قرار میدهد. این مشکل از سوی بنیاد نرمافزار Apache امتیاز بحرانی ۱۰ از ۱۰ را دریافت کرده است.
Apache MINA یک چارچوب برنامهنویسی شبکه است که یک لایه انتزاعی برای توسعه برنامههای شبکه با عملکرد بالا و مقیاسپذیر فراهم میکند.
مشکل اخیر در ‘ObjectSerializationDecoder’ وجود دارد که به دلیل عدم ایمنی در فرآیند سریالسازی جاوا ایجاد شده و ممکن است منجر به اجرای کد از راه دور (RCE) شود.
تیم Apache توضیح داد که این آسیبپذیری در صورتی قابل بهرهبرداری است که متد ‘IoBuffer#getObject()’ همراه با برخی کلاسهای خاص استفاده شود.
Apache این مشکل را با انتشار نسخههای ۲٫۰٫۲۷، ۲٫۱٫۱۰ و ۲٫۲٫۴ برطرف کرد که در آنها مؤلفه آسیبپذیر با تنظیمات پیشفرض امنیتی سختگیرانهتر تقویت شده است.
برای رفع کامل آسیبپذیری، علاوه بر ارتقا به نسخههای جدید، کاربران باید تنظیمات امنیتی خاصی را بهصورت دستی انجام دهند تا از سوءاستفاده احتمالی جلوگیری شود. این تنظیمات شامل رد کردن پیشفرض همه کلاسها به جز موارد مجاز است و روشهای انجام این کار توسط Apache ارائه شده است.
آسیبپذیری که نسخههای ۱٫۰ تا ۱٫۳ سرور Apache HugeGraph را تحت تأثیر قرار میدهد، یک مشکل دور زدن احراز هویت است که با شناسه CVE-2024-43441 پیگیری میشود. این مشکل به دلیل اعتبارسنجی نادرست منطق احراز هویت ایجاد شده است.
Apache HugeGraph-Server یک سرور پایگاه داده گرافی است که امکان ذخیرهسازی، جستجو و تحلیل کارآمد دادههای مبتنی بر گراف را فراهم میکند.
مشکل دور زدن احراز هویت در نسخه ۱٫۵٫۰ برطرف شده است، که هدف توصیهشده برای ارتقا کاربران HugeGraph-Server است.
سومین نقص با شناسه CVE-2024-45387 شناسایی شده است و بنیاد نرمافزار Apache آن را با امتیاز شدت بحرانی ۹٫۹ از ۱۰ ارزیابی کرده است. این مشکل یک آسیبپذیری SQL injection است که نسخههای ۸٫۰٫۰ تا ۸٫۰٫۱ از Traffic Ops را تحت تأثیر قرار میدهد.
Apache Traffic Control یک ابزار مدیریت و بهینهسازی شبکه تحویل محتوا (CDN) است.
مشکل اخیر در محصول به دلیل عدم کافی بودن پاکسازی ورودیهای SQL است که امکان اجرای دستورات دلخواه SQL را با استفاده از درخواستهای PUT خاص فراهم میکند.
مشکل امنیتی در نسخه جدید Apache Traffic Control (نسخه ۸٫۰٫۲) برطرف شده است و تیم Apache تأکید کرده که نسخههای قدیمیتر از ۸٫۰٫۰، یعنی از ۷٫۰٫۰ تا ۸٫۰٫۰، مشکلی ندارند.
به مدیران سیستم به شدت توصیه میشود که هرچه سریعتر به آخرین نسخه محصول ارتقا دهند، بهویژه اینکه هکرها اغلب در این زمان از سال حمله میکنند، زمانی که شرکتها کارکنان کمتری در دسترس دارند و زمان پاسخدهی طولانیتر است.
