Apache软件基金会近期发布了关键的安全更新,旨在解决MINA、HugeGraph-Server和Traffic Control产品中存在的三个重大安全问题。这些漏洞已在12月23日至25日期间发布的新软件版本中通过补丁进行了修复。然而,由于正值假期,补丁的部署速度可能会受到影响,从而增加漏洞被利用的风险。
其中,CVE-2024-52046是针对MINA框架的一个严重漏洞,影响了MINA的2.0至2.0.26、2.1到2.1.9以及2.2到2.2.3版本。Apache软件基金会为这一漏洞评定了最高级别的严重性评分。MINA是一个网络应用程序框架,为开发者提供了构建高性能和可扩展网络应用程序所需的抽象层。然而,由于存在不安全的Java去序列化问题,特别是“ObjectSerializationDecoder”可能导致远程代码执行(RCE)。Apache团队已经通过发布MINA的2.0.27、2.1.10和2.2.4版本来修复这一问题,并建议用户升级至这些版本,并手动设置所有类的拒绝,除非按照提供的三个方法之一明确允许。
对于Apache HugeGraph-Server,一个标记为CVE-2024-43441的漏洞允许绕过身份验证,影响了版本1.0到1.3。HugeGraph-Server是一个图形数据库服务器,能够高效地存储、查询和分析图形数据。这一问题是由于对身份验证逻辑的不正确验证引起的,已在1.5.0版本中得到了修复。Apache建议HugeGraph-Server用户升级至1.5.0版本以消除此漏洞。
第三个漏洞是CVE-2024-45387,一个针对TrafficOps的SQL注入漏洞,影响了版本8.0.0至8.0.1。TrafficOps是Apache流量控制的一部分,用于内容交付网络(CDN)的管理和优化。该漏洞是由于SQL查询输入消毒不足,允许通过特殊设计的PUT请求执行任意SQL命令。Apache软件基金会为这一漏洞评定了接近最高级别的严重性评分。
为确保系统的安全性,建议所有相关用户尽快应用这些安全更新,并采取必要的措施来减少漏洞被利用的风险。
本公众号所发布的文章皆源自于互联网转载或作者投稿并授予的原创作品,文章末尾有详细出处标注,其内含内容及图片之版权均属于原网站或作者本人,本公众号对此不持立场,若发现有非故意侵权或转载失当之处,敬请随时联系我们进行妥善处理!文章来源:https://www.bleepingcomputer.com
及时掌握网络安全态势 尽在傻蛋网络安全监测系统
本文来源:互联网
如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明
工商执照