В Apache предупредили о критических уязвимостях в MINA, HugeGraph и Traffic Control - «Новости» » Интернет технологии
sitename
Поиск смысла: в СУБД Yandex YDB появился векторный поиск, позволяющий искать по смысловым связям / ServerNews - «Новости сети»
Поиск смысла: в СУБД Yandex YDB появился векторный поиск, позволяющий искать по смысловым связям / ServerNews - «Новости сети»
«Россети» намерены построить единую оптическую линию связи за 80 млрд рублей / ServerNews - «Новости сети»
«Россети» намерены построить единую оптическую линию связи за 80 млрд рублей / ServerNews - «Новости сети»
Хакеры эксплуатируют критическую RCE-уязвимость в Wing FTP Server - «Новости»
Хакеры эксплуатируют критическую RCE-уязвимость в Wing FTP Server - «Новости»
Материнские платы Gigabyte уязвимы перед UEFI-малварью - «Новости»
Материнские платы Gigabyte уязвимы перед UEFI-малварью - «Новости»
Для доставки малвари Interlock применяется техника FileFix - «Новости»
Для доставки малвари Interlock применяется техника FileFix - «Новости»
Легендарная серия возвращается: анонсирована масштабная и динамичная тактическая стратегия Sudden Strike 5 - «Новости сети»
Легендарная серия возвращается: анонсирована масштабная и динамичная тактическая стратегия Sudden Strike 5 - «Новости сети»
Баг в железнодорожном протоколе позволяет остановить поезд с помощью SDR - «Новости»
Баг в железнодорожном протоколе позволяет остановить поезд с помощью SDR - «Новости»
Британская полиция арестовала четырех человек, причастных к атакам на ритейлеров - «Новости»
Британская полиция арестовала четырех человек, причастных к атакам на ритейлеров - «Новости»
Windows 11 снова предлагает «безопасно извлечь видеокарту» — делать этого не стоит - «Новости сети»
Windows 11 снова предлагает «безопасно извлечь видеокарту» — делать этого не стоит - «Новости сети»
Asus показала золотую видеокарту RTX 5090 ROG Astral Real Gold Edition за $500 тыс. - «Новости сети»
Asus показала золотую видеокарту RTX 5090 ROG Astral Real Gold Edition за $500 тыс. - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Учебник CSS » Преимущества стилей » В Apache предупредили о критических уязвимостях в MINA, HugeGraph и Traffic Control - «Новости»

Apache Software Foundation выпустила патчи для устранения трех серьезных проблем, затрагивающих продукты MINA, HugeGraph-Server и Traffic Control. Уязвимости получили 9,9 и 10 баллов по шкале CVSS, то есть оцениваются как критические.


Одна из ошибок отслеживается под идентификатором CVE-2024-52046 и затрагивает MINA версий с 2.0 по 2.0.26, с 2.1 по 2.1.9 и с 2.2 по 2.2.3. Эта уязвимость была оценена на 10 баллов из 10 возможных.


Apache MINA представляет собой фреймворк для сетевых приложений, который обеспечивает уровень абстракции для разработки высокопроизводительных и масштабируемых сетевых решений.


Уязвимости была обнаружена в ObjectSerializationDecoder и вызвана небезопасной десериализацией Java, что потенциально могло привести к удаленному выполнению кода (RCE). Разработчики пояснили, что уязвимость может использоваться, если метод IoBuffer#getObject() применяется в сочетании с определенными классами.


Проблема устранена в версиях 2.0.27, 2.1.10 и 2.2.4, где уязвимый компонент получил более строгие настройки безопасности по умолчанию. Однако подчеркивается, что одного лишь обновления до указанных выше версий будет недостаточно. Пользователям также придется вручную установить запрет на использование определенных классов.


Еще одна уязвимость (CVE-2024-43441) затрагивает Apache HugeGraph-Server версий с 1.0 по 1.3, и представляет собой обход аутентификации, связанный с некорректной логикой валидации.


Apache HugeGraph-Server — это система графовой БД, которая обеспечивает эффективное хранение, запрос и анализ данных на основе графов.


Уязвимость обхода аутентификации исправили в версии 1.5.0, до которой теперь рекомендуется обновиться пользователям HugeGraph-Server.


Третья уязвимость была выявлена в Apache Traffic Control — инструменте для управления и оптимизации сетей доставки контента (CDN). Проблема получила идентификатор CVE-2024-45387 и оценивается в 9,9 балла из 10 возможных, то есть тоже является критической. Баг связан с SQL-инъекциями и затрагивает Traffic Ops версий 8.0.0–8.0.1.


Уязвимость была вызвана недостаточной очисткой входных данных SQL-запросов, что позволяло выполнять произвольные SQL-команды с помощью специально подготовленных PUT-запросов.


Ошибка была устранена в Apache Traffic Control версии 8.0.2, выпущенной ранее на этой неделе. При этом разработчики Apache отмечают, что версии от 7.0.0 до 8.0.0 вообще не подвержены этому багу.


Системным администраторам настоятельно рекомендуется как можно скорее обновиться до новейших версий, так как хакеры нередко устраивают атаки в период праздников, когда в компаниях доступно меньше сотрудников, а время реагирования на инциденты увеличивается.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Apache Software Foundation выпустила патчи для устранения трех серьезных проблем, затрагивающих продукты MINA, HugeGraph-Server и Traffic Control. Уязвимости получили 9,9 и 10 баллов по шкале CVSS, то есть оцениваются как критические. Одна из ошибок отслеживается под идентификатором CVE-2024-52046 и затрагивает MINA версий с 2.0 по 2.0.26, с 2.1 по 2.1.9 и с 2.2 по 2.2.3. Эта уязвимость была оценена на 10 баллов из 10 возможных. Apache MINA представляет собой фреймворк для сетевых приложений, который обеспечивает уровень абстракции для разработки высокопроизводительных и масштабируемых сетевых решений. Уязвимости была обнаружена в ObjectSerializationDecoder и вызвана небезопасной десериализацией Java, что потенциально могло привести к удаленному выполнению кода (RCE). Разработчики пояснили, что уязвимость может использоваться, если метод IoBuffer
CSS

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: