В Apache предупредили о критических уязвимостях в MINA, HugeGraph и Traffic Control - «Новости» » Интернет технологии
sitename
До России добрался банкер NGate, ворующий деньги через NFC - «Новости»
До России добрался банкер NGate, ворующий деньги через NFC - «Новости»
 Пакеты из PyPI перехватывали нажатия клавиш и угоняли аккаунты в соцсетях - «Новости»
Пакеты из PyPI перехватывали нажатия клавиш и угоняли аккаунты в соцсетях - «Новости»
 Операторы Clop вымогают деньги у 66 клиентов компании Cleo - «Новости»
Операторы Clop вымогают деньги у 66 клиентов компании Cleo - «Новости»
 Кибератака вынудила авиакомпанию Japan Airlines задержать вылеты - «Новости»
Кибератака вынудила авиакомпанию Japan Airlines задержать вылеты - «Новости»
 В Apache предупредили о критических уязвимостях в MINA, HugeGraph и Traffic Control - «Новости»
В Apache предупредили о критических уязвимостях в MINA, HugeGraph и Traffic Control - «Новости»
Зонд NASA «Паркер» вошёл в объятья Солнца — связь с ним потеряна, но не безнадёжно - «Новости сети»
Зонд NASA «Паркер» вошёл в объятья Солнца — связь с ним потеряна, но не безнадёжно - «Новости сети»
 Китайский автопром столкнулся с системным кризисом из-за неплатежей и ценовой войны - «Новости сети»
Китайский автопром столкнулся с системным кризисом из-за неплатежей и ценовой войны - «Новости сети»
 Опубликованы снимки печатной платы Nvidia GeForce RTX 5090 с большим чипом GB202 - «Новости сети»
Опубликованы снимки печатной платы Nvidia GeForce RTX 5090 с большим чипом GB202 - «Новости сети»
 Лампа накаливания снова в деле — физики увидели в ней основу мультиспектрального машинного зрения - «Новости сети»
Лампа накаливания снова в деле — физики увидели в ней основу мультиспектрального машинного зрения - «Новости сети»
 Бывшие разработчики Serious Sam анонсировали умный шутер, вдохновлённый Half-Life — первый трейлер и детали Invariant - «Новости сети»
Бывшие разработчики Serious Sam анонсировали умный шутер, вдохновлённый Half-Life — первый трейлер и детали Invariant - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Учебник CSS » Преимущества стилей » В Apache предупредили о критических уязвимостях в MINA, HugeGraph и Traffic Control - «Новости»

✔В Apache предупредили о критических уязвимостях в MINA, HugeGraph и Traffic Control - «Новости»

28 декабря 2024 10 Преимущества стилей / Новости / Вёрстка / Добавления стилей / Изображения / Текст / Отступы и поля 0

Apache Software Foundation выпустила патчи для устранения трех серьезных проблем, затрагивающих продукты MINA, HugeGraph-Server и Traffic Control. Уязвимости получили 9,9 и 10 баллов по шкале CVSS, то есть оцениваются как критические.


Одна из ошибок отслеживается под идентификатором CVE-2024-52046 и затрагивает MINA версий с 2.0 по 2.0.26, с 2.1 по 2.1.9 и с 2.2 по 2.2.3. Эта уязвимость была оценена на 10 баллов из 10 возможных.


Apache MINA представляет собой фреймворк для сетевых приложений, который обеспечивает уровень абстракции для разработки высокопроизводительных и масштабируемых сетевых решений.


Уязвимости была обнаружена в ObjectSerializationDecoder и вызвана небезопасной десериализацией Java, что потенциально могло привести к удаленному выполнению кода (RCE). Разработчики пояснили, что уязвимость может использоваться, если метод IoBuffer#getObject() применяется в сочетании с определенными классами.


Проблема устранена в версиях 2.0.27, 2.1.10 и 2.2.4, где уязвимый компонент получил более строгие настройки безопасности по умолчанию. Однако подчеркивается, что одного лишь обновления до указанных выше версий будет недостаточно. Пользователям также придется вручную установить запрет на использование определенных классов.


Еще одна уязвимость (CVE-2024-43441) затрагивает Apache HugeGraph-Server версий с 1.0 по 1.3, и представляет собой обход аутентификации, связанный с некорректной логикой валидации.


Apache HugeGraph-Server — это система графовой БД, которая обеспечивает эффективное хранение, запрос и анализ данных на основе графов.


Уязвимость обхода аутентификации исправили в версии 1.5.0, до которой теперь рекомендуется обновиться пользователям HugeGraph-Server.


Третья уязвимость была выявлена в Apache Traffic Control — инструменте для управления и оптимизации сетей доставки контента (CDN). Проблема получила идентификатор CVE-2024-45387 и оценивается в 9,9 балла из 10 возможных, то есть тоже является критической. Баг связан с SQL-инъекциями и затрагивает Traffic Ops версий 8.0.0–8.0.1.


Уязвимость была вызвана недостаточной очисткой входных данных SQL-запросов, что позволяло выполнять произвольные SQL-команды с помощью специально подготовленных PUT-запросов.


Ошибка была устранена в Apache Traffic Control версии 8.0.2, выпущенной ранее на этой неделе. При этом разработчики Apache отмечают, что версии от 7.0.0 до 8.0.0 вообще не подвержены этому багу.


Системным администраторам настоятельно рекомендуется как можно скорее обновиться до новейших версий, так как хакеры нередко устраивают атаки в период праздников, когда в компаниях доступно меньше сотрудников, а время реагирования на инциденты увеличивается.


Apache Software Foundation выпустила патчи для устранения трех серьезных проблем, затрагивающих продукты MINA, HugeGraph-Server и Traffic Control. Уязвимости получили 9,9 и 10 баллов по шкале CVSS, то есть оцениваются как критические. Одна из ошибок отслеживается под идентификатором CVE-2024-52046 и затрагивает MINA версий с 2.0 по 2.0.26, с 2.1 по 2.1.9 и с 2.2 по 2.2.3. Эта уязвимость была оценена на 10 баллов из 10 возможных. Apache MINA представляет собой фреймворк для сетевых приложений, который обеспечивает уровень абстракции для разработки высокопроизводительных и масштабируемых сетевых решений. Уязвимости была обнаружена в ObjectSerializationDecoder и вызвана небезопасной десериализацией Java, что потенциально могло привести к удаленному выполнению кода (RCE). Разработчики пояснили, что уязвимость может использоваться, если метод IoBuffer
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: