Apache: trovati bug critici in MINA, HugeGraph e Traffic Control

La Apache Software Foundation ha rilasciato aggiornamenti di sicurezza per risolvere tre gravi problemi che interessano i prodotti MINA, HugeGraph-Server e Traffic Control. Le vulnerabilità sono state corrette nelle nuove versioni software rilasciate tra il 23 e il 25 dicembre. Tuttavia, il periodo di vacanza potrebbe comportare un tasso di patching più lento e un rischio maggiore di sfruttamento. Uno dei bug è tracciato come CVE-2024-52046 e ha un impatto sulle versioni MINA da 2.0 a 2.0.26, da 2.1 a 2.1.9 e da 2.2 a 2.2.3. Il problema ha ricevuto un punteggio di gravità critica di 10 su 10 dalla Apache Software Foundation. MINA è un framework di applicazioni di rete che fornisce un livello di astrazione per lo sviluppo di applicazioni di rete ad alte prestazioni e scalabili. L'ultimo problema risiede in "ObjectSerializationDecoder" causato dalla deserializzazione Java non sicura, che potrebbe portare all'esecuzione di codice remoto (RCE).

Il team di Apache ha chiarito che la vulnerabilità è sfruttabile se il metodo "IoBuffer#getObject()" viene utilizzato in combinazione con determinate classi. Apache ha affrontato il problema con il rilascio delle versioni 2.0.27, 2.1.10 e 2.2.4, che hanno migliorato il componente vulnerabile con impostazioni di sicurezza predefinite più severe. Tuttavia, l'aggiornamento a tali versioni non è sufficiente. Gli utenti devono anche impostare manualmente il rifiuto di tutte le classi a meno che non siano esplicitamente consentite seguendo uno dei tre metodi forniti.

Apache: i dettagli delle vulnerabilità relative a HugeGraph e Traffic Control

La vulnerabilità che ha un impatto sulle versioni 1.0-1.3 di Apache HugeGraph-Server è un problema di bypass dell'autenticazione tracciato come CVE-2024-43441. È causato da una convalida non corretta della logica di autenticazione. Apache HugeGraph-Server è un server di database grafico che consente un'archiviazione, una query e un'analisi efficienti dei dati basati su grafici. Il problema di bypass dell'autenticazione è stato risolto nella versione 1.5.0. Il terzo difetto è identificato come CVE-2024-45387 ed è stato classificato con un punteggio di gravità critica di 9,9. Si tratta di un problema di iniezione SQL che ha un impatto sulle versioni di Traffic Ops da 8.0.0 a 8.0.1. Apache Traffic Control è uno strumento di gestione e ottimizzazione della Content Delivery Network (CDN). L'ultimo problema del prodotto è causato da un input sanitization delle query SQL insufficiente. Ciò consente l'esecuzione di comandi SQL arbitrari tramite richieste PUT appositamente create.

Il problema è stato risolto in Apache Traffic Control versione 8.0.2, rilasciata all'inizio di questa settimana. Il team di Apache ha notato che le versioni dalla 7.0.0 alla 8.0.0 non sono interessate. Gli hacker scelgono spesso di colpire in questo periodo dell'anno in cui le aziende hanno meno dipendenti in servizio e i tempi di risposta sono più lunghi. Per questo motivo, si consiglia vivamente agli amministratori di sistema di eseguire l'aggiornamento all'ultima versione del prodotto il prima possibile.