В Apache предупредили о критических уязвимостях в MINA, HugeGraph и Traffic Control - «Новости» » Интернет технологии
sitename
Системы хранения данных QNAP
Системы хранения данных QNAP
Зарубежные SIM-карты больше не позволяют обходить блокировки - «Новости»
Зарубежные SIM-карты больше не позволяют обходить блокировки - «Новости»
Один из разработчиков OpenMandriva Linux пытался саботировать проект - «Новости»
Один из разработчиков OpenMandriva Linux пытался саботировать проект - «Новости»
Microsoft исправила уязвимость RoguePlanet. Исследователь утверждает, что патч опасен - «Новости»
Microsoft исправила уязвимость RoguePlanet. Исследователь утверждает, что патч опасен - «Новости»
СМИ: пользователей хостинга могут обязать проходить идентификацию через «Госуслуги» - «Новости»
СМИ: пользователей хостинга могут обязать проходить идентификацию через «Госуслуги» - «Новости»
Администраторам Progress рекомендовали срочно отключить серверы ShareFile - «Новости»
Администраторам Progress рекомендовали срочно отключить серверы ShareFile - «Новости»
Tesla разгромила собственный завод по производству Model S и Model X во Фримонте - «Новости сети»
Tesla разгромила собственный завод по производству Model S и Model X во Фримонте - «Новости сети»
«Уэбб» помог изучить атмосферу планеты, пережившей смерть своей звезды - «Новости сети»
«Уэбб» помог изучить атмосферу планеты, пережившей смерть своей звезды - «Новости сети»
Sony удалось остановить лавину негатива из-за отмены дисков — сработал анонс портов двух старых игр - «Новости сети»
Sony удалось остановить лавину негатива из-за отмены дисков — сработал анонс портов двух старых игр - «Новости сети»
Google представила ИИ-модель для мониторинга здоровья, обученную на триллионе минут данных носимых устройств - «Новости сети»
Google представила ИИ-модель для мониторинга здоровья, обученную на триллионе минут данных носимых устройств - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Учебник CSS » Преимущества стилей » В Apache предупредили о критических уязвимостях в MINA, HugeGraph и Traffic Control - «Новости»

Apache Software Foundation выпустила патчи для устранения трех серьезных проблем, затрагивающих продукты MINA, HugeGraph-Server и Traffic Control. Уязвимости получили 9,9 и 10 баллов по шкале CVSS, то есть оцениваются как критические.


Одна из ошибок отслеживается под идентификатором CVE-2024-52046 и затрагивает MINA версий с 2.0 по 2.0.26, с 2.1 по 2.1.9 и с 2.2 по 2.2.3. Эта уязвимость была оценена на 10 баллов из 10 возможных.


Apache MINA представляет собой фреймворк для сетевых приложений, который обеспечивает уровень абстракции для разработки высокопроизводительных и масштабируемых сетевых решений.


Уязвимости была обнаружена в ObjectSerializationDecoder и вызвана небезопасной десериализацией Java, что потенциально могло привести к удаленному выполнению кода (RCE). Разработчики пояснили, что уязвимость может использоваться, если метод IoBuffer#getObject() применяется в сочетании с определенными классами.


Проблема устранена в версиях 2.0.27, 2.1.10 и 2.2.4, где уязвимый компонент получил более строгие настройки безопасности по умолчанию. Однако подчеркивается, что одного лишь обновления до указанных выше версий будет недостаточно. Пользователям также придется вручную установить запрет на использование определенных классов.


Еще одна уязвимость (CVE-2024-43441) затрагивает Apache HugeGraph-Server версий с 1.0 по 1.3, и представляет собой обход аутентификации, связанный с некорректной логикой валидации.


Apache HugeGraph-Server — это система графовой БД, которая обеспечивает эффективное хранение, запрос и анализ данных на основе графов.


Уязвимость обхода аутентификации исправили в версии 1.5.0, до которой теперь рекомендуется обновиться пользователям HugeGraph-Server.


Третья уязвимость была выявлена в Apache Traffic Control — инструменте для управления и оптимизации сетей доставки контента (CDN). Проблема получила идентификатор CVE-2024-45387 и оценивается в 9,9 балла из 10 возможных, то есть тоже является критической. Баг связан с SQL-инъекциями и затрагивает Traffic Ops версий 8.0.0–8.0.1.


Уязвимость была вызвана недостаточной очисткой входных данных SQL-запросов, что позволяло выполнять произвольные SQL-команды с помощью специально подготовленных PUT-запросов.


Ошибка была устранена в Apache Traffic Control версии 8.0.2, выпущенной ранее на этой неделе. При этом разработчики Apache отмечают, что версии от 7.0.0 до 8.0.0 вообще не подвержены этому багу.


Системным администраторам настоятельно рекомендуется как можно скорее обновиться до новейших версий, так как хакеры нередко устраивают атаки в период праздников, когда в компаниях доступно меньше сотрудников, а время реагирования на инциденты увеличивается.


Apache Software Foundation выпустила патчи для устранения трех серьезных проблем, затрагивающих продукты MINA, HugeGraph-Server и Traffic Control. Уязвимости получили 9,9 и 10 баллов по шкале CVSS, то есть оцениваются как критические. Одна из ошибок отслеживается под идентификатором CVE-2024-52046 и затрагивает MINA версий с 2.0 по 2.0.26, с 2.1 по 2.1.9 и с 2.2 по 2.2.3. Эта уязвимость была оценена на 10 баллов из 10 возможных. Apache MINA представляет собой фреймворк для сетевых приложений, который обеспечивает уровень абстракции для разработки высокопроизводительных и масштабируемых сетевых решений. Уязвимости была обнаружена в ObjectSerializationDecoder и вызвана небезопасной десериализацией Java, что потенциально могло привести к удаленному выполнению кода (RCE). Разработчики пояснили, что уязвимость может использоваться, если метод IoBuffer
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS

Смотрите также

А что там на главной? )))



Комментарии )))



Войти через: