Apache Software Foundation (ASF) ogłosiła wydanie aktualizacji zabezpieczeń, które eliminują trzy krytyczne luki w popularnych produktach: Apache MINA, HugeGraph-Server i Traffic Control. Luki te mogą prowadzić do poważnych konsekwencji, takich jak zdalne wykonanie kodu (RCE), obejście uwierzytelniania i wstrzykiwanie kodu SQL.
Podatność w Apache MINA
Pierwsza z wykrytych luk, oznaczona jako CVE-2024-52046, dotyczy frameworka Apache MINA. Ten popularny framework do tworzenia aplikacji sieciowych umożliwia budowanie wydajnych i skalowalnych rozwiązań. Luka jest wynikiem niebezpiecznej deserializacji w mechanizmie ObjectSerializationDecoder, co umożliwia zdalne wykonanie kodu.
Luka występuje w wersjach MINA od:
2.0 do 2.0.26,
2.1 do 2.1.9,
2.2 do 2.2.3.
ASF oceniło jej krytyczność na maksymalne 10/10. Problem ten został rozwiązany w wersjach:
2.0.27,
2.1.10,
2.2.4.
Jednak samo zainstalowanie aktualizacji nie wystarcza. Użytkownicy muszą ręcznie skonfigurować ustawienia bezpieczeństwa, odrzucając wszystkie klasy poza jawnie dozwolonymi. Apache dostarczył szczegółowe instrukcje dotyczące tych zmian.
Luka w HugeGraph-Server
Druga luka, oznaczona jako CVE-2024-43441, została wykryta w serwerze Apache HugeGraph-Server, który służy do przechowywania i analizy danych opartych na grafach. Wykryta podatność pozwala na obejście mechanizmu uwierzytelniania, co może prowadzić do nieautoryzowanego dostępu do danych.
Luka dotyczy wersji od 1.0 do 1.3 i została załatana w wersji 1.5.0. W tej aktualizacji wprowadzono poprawki logiki walidacji uwierzytelniania, które zapobiegają nadużyciom. ASF zaleca natychmiastowe uaktualnienie do wersji 1.5.0, aby zminimalizować ryzyko.
Krytyczna Luka w Traffic Control
Trzeci problem, CVE-2024-45387, dotyczy produktu Apache Traffic Control, który służy do zarządzania sieciami dostarczania treści (CDN). Luka, oceniona na 9,9/10, umożliwia wstrzykiwanie kodu SQL za pomocą spreparowanych żądań PUT. W wyniku tego atakujący mogą wykonywać dowolne polecenia SQL, co stanowi poważne zagrożenie dla integralności danych.
Podatność występuje w wersjach:
8.0.0 do 8.0.1.
Została załatana w wersji 8.0.2, wydanej w grudniu 2024 roku. Co ważne, problem nie dotyczy wcześniejszych wersji 7.0.0–8.0.0, co ogranicza zakres zagrożenia.
Ryzyko i zalecenia ASF
Okres świąteczny, w którym opublikowano aktualizacje (23–25 grudnia), może opóźnić proces łatania systemów. Opóźnienia te zwiększają ryzyko wykorzystania luk przez cyberprzestępców. Apache Software Foundation apeluje o natychmiastowe zastosowanie dostępnych poprawek oraz dodatkowe kroki w celu zabezpieczenia systemów:
Aktualizuj oprogramowanie: zainstaluj najnowsze wersje, które eliminują luki.
Dostosuj konfigurację: w przypadku MINA skonfiguruj restrykcyjne reguły bezpieczeństwa.
Monitoruj systemy: zwracaj uwagę na podejrzaną aktywność, która może sugerować próbę wykorzystania luk.
Apache Software Foundation podjęło szybkie działania, aby wyeliminować poważne zagrożenia w swoich produktach. Administratorzy systemów powinni niezwłocznie zastosować aktualizacje i wprowadzić dodatkowe środki ochronne.
