Apache Software Foundation, Mina, devGraph-Server ve trafik kontrol ürünlerini etkileyen üç ciddi sorunu ele almak için güvenlik güncellemeleri yayınladı.
Güvenlik açıkları, 23 ve 25 Aralık arasında piyasaya sürülen yeni yazılım versiyonlarında yamalandı. Bununla birlikte, tatil süresi daha yavaş bir yama oranına ve sömürü riskinin artmasına neden olabilir.
Hatalardan biri CVE-2024-52046 olarak izlenir ve Mina sürümlerini 2.0 ila 2.0.26, 2.1 ila 2.1.9 ve 2.2 ila 2.2.3 etkiler. Sorun, Apache Software Foundation'dan 10 üzerinden 10'luk kritik bir şiddet puanı aldı
Apache Mina, yüksek performanslı ve ölçeklenebilir ağ uygulamaları geliştirmek için bir soyutlama katmanı sağlayan bir ağ uygulama çerçevesidir.
En son sorun, güvensiz Java seansizasyonunun neden olduğu 'ObjectSerializationDecoder' da yatmaktadır ve potansiyel olarak uzaktan kod yürütülmesine (RCE) yol açar.
Apache ekibi, 'iobuffer#getObject ()' yöntemi belirli sınıflarla birlikte kullanılırsa güvenlik açığının yararlanılabilir olduğunu açıkladı.
Apache, sorunu, daha katı güvenlik varsayılanları ile savunmasız bileşeni geliştiren 2.0.27, 2.1.10 ve 2.2.4 sürümlerinin yayınlanmasıyla ilgili olarak ele aldı.
Ancak, bu sürümlere yükseltmek yeterli değildir. Ayrıca, sağlanan üç yöntemden birini takip ederek açıkça izin verilmedikçe, tüm sınıfların reddini manuel olarak ayarlamaları gerekir.
Apache Muargraph-Server sürümleri 1.0 ila 1.3'ü etkileyen güvenlik açığı, CVE-2024-43441 olarak izlenen bir kimlik doğrulama bypass problemidir. Kimlik doğrulama mantığının yanlış doğrulanmasından kaynaklanır.
Apache devGraph-Server, grafik tabanlı verilerin verimli depolanmasını, sorgulanmasını ve analizini sağlayan bir grafik veritabanı sunucusudur.
Kimlik doğrulama bypass sorunu, devasa-sunucu kullanıcıları için önerilen yükseltme hedefi olan 1.5.0 sürümünde ele alınmıştır.
Üçüncü kusur CVE-2024-45387 olarak tanımlanır ve Apache Yazılım Vakfı 9.9 kritik önem skoru ile derecelendirilmiştir. Trafik OPS sürümlerini 8.0.0 ila 8.0.1 etkileyen bir SQL enjeksiyon problemidir.
Apache Trafik Kontrolü bir içerik dağıtım ağı (CDN) yönetim ve optimizasyon aracıdır.
Ürünle ilgili en son sorun, SQL sorgularının yetersiz giriş dezenfekte edilmesinden kaynaklanır ve özel olarak hazırlanmış Put taleplerini kullanarak keyfi SQL komutu yürütülmesine izin verir.
Sorun, bu haftanın başlarında piyasaya sürülen Apache Traffic Control sürüm 8.0.2'de düzeltildi. Apache ekibi, 7.0.0 ila 8.0.0'a kadar sürümlerin etkilenmediğini belirtti.
Sistem yöneticilerinin, özellikle bilgisayar korsanları, şirketlerin görevde daha az çalışanı ve yanıt sürelerinin daha uzun olduğu yılın bu zamanında grev yapmayı seçtikleri için en kısa sürede en son ürün sürümüne yükseltilmeleri şiddetle tavsiye edilir.
Apache, Tomcat Web Server'da Uzak Kod Yürütme Bypass'ı düzeltiyor
Yeni Kritik Apache Struts Kusurlu Sunucular bulmak için sömürüldü
Premium WPLMS WordPress eklentileri yedi kritik kusur
Fortinet, hackerlar yönetici ayrıcalıkları veren fortiwlm hatası konusunda uyarıyor
Veri hırsızlığı saldırılarında sömürülen yeni Cleo sıfır gün RCE kusuru
Kaynak: Bleeping Computer