В Apache предупредили о критических уязвимостях в MINA, HugeGraph и Traffic Control - «Новости» » Интернет технологии
sitename
Oracle в частном порядке уведомляет клиентов об утечке данных - «Новости»
Oracle в частном порядке уведомляет клиентов об утечке данных - «Новости»
В Positive Technologies нашли новый вектор эксплуатации уязвимостей в процессорах Intel - «Новости»
В Positive Technologies нашли новый вектор эксплуатации уязвимостей в процессорах Intel - «Новости»
В Apache Parquet обнаружили критическую RCE-уязвимость - «Новости»
В Apache Parquet обнаружили критическую RCE-уязвимость - «Новости»
Каскадную атаку на цепочку поставок на GitHub связали с утечкой токена SpotBugs - «Новости»
Каскадную атаку на цепочку поставок на GitHub связали с утечкой токена SpotBugs - «Новости»
Уязвимость в Google Quick Share позволяла передавать файлы без согласия пользователя - «Новости»
Уязвимость в Google Quick Share позволяла передавать файлы без согласия пользователя - «Новости»
Между Apple и Илоном Маском разгорелся конфликт из-за мобильной спутниковой связи - «Новости сети»
Между Apple и Илоном Маском разгорелся конфликт из-за мобильной спутниковой связи - «Новости сети»
Ryzen 9 9950X3D с помощью обычного утюга и лески заставили разогнаться почти до 6 ГГц - «Новости сети»
Ryzen 9 9950X3D с помощью обычного утюга и лески заставили разогнаться почти до 6 ГГц - «Новости сети»
Билл Гейтс хотел бы превратить Microsoft в ИИ-компанию и заработать миллиарды на «эскизных идеях» - «Новости сети»
Билл Гейтс хотел бы превратить Microsoft в ИИ-компанию и заработать миллиарды на «эскизных идеях» - «Новости сети»
«Самое брутальное зрелище в галактике»: новый геймплейный трейлер подтвердил дату выхода безжалостного боевика Kiborg от российских разработчиков - «Новости сети»
«Самое брутальное зрелище в галактике»: новый геймплейный трейлер подтвердил дату выхода безжалостного боевика Kiborg от российских разработчиков - «Новости сети»
Найден новый простой способ установки Windows 11 без учётной записи Microsoft - «Новости сети»
Найден новый простой способ установки Windows 11 без учётной записи Microsoft - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Учебник CSS » Преимущества стилей » В Apache предупредили о критических уязвимостях в MINA, HugeGraph и Traffic Control - «Новости»

Apache Software Foundation выпустила патчи для устранения трех серьезных проблем, затрагивающих продукты MINA, HugeGraph-Server и Traffic Control. Уязвимости получили 9,9 и 10 баллов по шкале CVSS, то есть оцениваются как критические.


Одна из ошибок отслеживается под идентификатором CVE-2024-52046 и затрагивает MINA версий с 2.0 по 2.0.26, с 2.1 по 2.1.9 и с 2.2 по 2.2.3. Эта уязвимость была оценена на 10 баллов из 10 возможных.


Apache MINA представляет собой фреймворк для сетевых приложений, который обеспечивает уровень абстракции для разработки высокопроизводительных и масштабируемых сетевых решений.


Уязвимости была обнаружена в ObjectSerializationDecoder и вызвана небезопасной десериализацией Java, что потенциально могло привести к удаленному выполнению кода (RCE). Разработчики пояснили, что уязвимость может использоваться, если метод IoBuffer#getObject() применяется в сочетании с определенными классами.


Проблема устранена в версиях 2.0.27, 2.1.10 и 2.2.4, где уязвимый компонент получил более строгие настройки безопасности по умолчанию. Однако подчеркивается, что одного лишь обновления до указанных выше версий будет недостаточно. Пользователям также придется вручную установить запрет на использование определенных классов.


Еще одна уязвимость (CVE-2024-43441) затрагивает Apache HugeGraph-Server версий с 1.0 по 1.3, и представляет собой обход аутентификации, связанный с некорректной логикой валидации.


Apache HugeGraph-Server — это система графовой БД, которая обеспечивает эффективное хранение, запрос и анализ данных на основе графов.


Уязвимость обхода аутентификации исправили в версии 1.5.0, до которой теперь рекомендуется обновиться пользователям HugeGraph-Server.


Третья уязвимость была выявлена в Apache Traffic Control — инструменте для управления и оптимизации сетей доставки контента (CDN). Проблема получила идентификатор CVE-2024-45387 и оценивается в 9,9 балла из 10 возможных, то есть тоже является критической. Баг связан с SQL-инъекциями и затрагивает Traffic Ops версий 8.0.0–8.0.1.


Уязвимость была вызвана недостаточной очисткой входных данных SQL-запросов, что позволяло выполнять произвольные SQL-команды с помощью специально подготовленных PUT-запросов.


Ошибка была устранена в Apache Traffic Control версии 8.0.2, выпущенной ранее на этой неделе. При этом разработчики Apache отмечают, что версии от 7.0.0 до 8.0.0 вообще не подвержены этому багу.


Системным администраторам настоятельно рекомендуется как можно скорее обновиться до новейших версий, так как хакеры нередко устраивают атаки в период праздников, когда в компаниях доступно меньше сотрудников, а время реагирования на инциденты увеличивается.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Apache Software Foundation выпустила патчи для устранения трех серьезных проблем, затрагивающих продукты MINA, HugeGraph-Server и Traffic Control. Уязвимости получили 9,9 и 10 баллов по шкале CVSS, то есть оцениваются как критические. Одна из ошибок отслеживается под идентификатором CVE-2024-52046 и затрагивает MINA версий с 2.0 по 2.0.26, с 2.1 по 2.1.9 и с 2.2 по 2.2.3. Эта уязвимость была оценена на 10 баллов из 10 возможных. Apache MINA представляет собой фреймворк для сетевых приложений, который обеспечивает уровень абстракции для разработки высокопроизводительных и масштабируемых сетевых решений. Уязвимости была обнаружена в ObjectSerializationDecoder и вызвана небезопасной десериализацией Java, что потенциально могло привести к удаленному выполнению кода (RCE). Разработчики пояснили, что уязвимость может использоваться, если метод IoBuffer
CSS

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: