Apache軟件基金會近期發布了關鍵的安全更新,旨在解決MINA、HugeGraph-Server和Traffic Control產品中存在的三個重大安全問題。這些漏洞已在12月23日至25日期間發布的新軟件版本中通過補丁進行了修復。然而,由于正值假期,補丁的部署速度可能會受到影響,從而增加漏洞被利用的風險。
其中,CVE-2024-52046是針對MINA框架的一個嚴重漏洞,影響了MINA的2.0至2.0.26、2.1到2.1.9以及2.2到2.2.3版本。Apache軟件基金會為這一漏洞評定了最高級別的嚴重性評分。MINA是一個網絡應用程序框架,為開發者提供了構建高性能和可擴展網絡應用程序所需的抽象層。然而,由于存在不安全的Java去序列化問題,特別是“ObjectSerializationDecoder”可能導致遠程代碼執行(RCE)。Apache團隊已經通過發布MINA的2.0.27、2.1.10和2.2.4版本來修復這一問題,并建議用戶升級至這些版本,并手動設置所有類的拒絕,除非按照提供的三個方法之一明確允許。
對于Apache HugeGraph-Server,一個標記為CVE-2024-43441的漏洞允許繞過身份驗證,影響了版本1.0到1.3。HugeGraph-Server是一個圖形數據庫服務器,能夠高效地存儲、查詢和分析圖形數據。這一問題是由于對身份驗證邏輯的不正確驗證引起的,已在1.5.0版本中得到了修復。Apache建議HugeGraph-Server用戶升級至1.5.0版本以消除此漏洞。
第三個漏洞是CVE-2024-45387,一個針對TrafficOps的SQL注入漏洞,影響了版本8.0.0至8.0.1。TrafficOps是Apache流量控制的一部分,用于內容交付網絡(CDN)的管理和優化。該漏洞是由于SQL查詢輸入消毒不足,允許通過特殊設計的PUT請求執行任意SQL命令。Apache軟件基金會為這一漏洞評定了接近最高級別的嚴重性評分。
為確保系統的安全性,建議所有相關用戶盡快應用這些安全更新,并采取必要的措施來減少漏洞被利用的風險。
本公眾號所發布的文章皆源自于互聯網轉載或作者投稿并授予的原創作品,文章末尾有詳細出處標注,其內含內容及圖片之版權均屬于原網站或作者本人,本公眾號對此不持立場,若發現有非故意侵權或轉載失當之處,敬請隨時聯系我們進行妥善處理!文章來源:https://www.bleepingcomputer.com
及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統
本文來源:互聯網
如涉及侵權,請及時與我們聯系,我們會在第一時間刪除或處理侵權內容。
電話:400-869-9193 負責人:張明