Apache Software Foundation, MINA, HugeGraph-Server ve Traffic Control ürünlerini etkileyen üç ciddi sorunu gidermek için güvenlik güncellemeleri yayınladı.
Güvenlik açıkları, 23-25 Aralık tarihleri arasında yayımlanan yeni yazılım sürümlerinde yamandı. Ancak tatil dönemi, yama oranının yavaşlamasına ve kötüye kullanım riskinin artmasına neden olabilir.
Hatalardan biri CVE-2024-52046 olarak izleniyor ve MINA’nın 2.0 ila 2.0.26, 2.1 ila 2.1.9 ve 2.2 ila 2.2.3 sürümlerini etkiliyor. Sorun, Apache Software Foundation’dan 10 üzerinden 10 kritik önem puanı aldı
Apache MINA, yüksek performanslı ve ölçeklenebilir ağ uygulamaları geliştirmek için soyutlama katmanı sağlayan bir ağ uygulama çerçevesidir.
En son sorun, güvenli olmayan Java seri durumdan çıkarmanın neden olduğu ve potansiyel olarak uzaktan kod yürütülmesine (RCE) yol açan ‘ObjectSerializationDecoder’da yatmaktadır.
Apache ekibi, ‘IoBuffer#getObject()’ yönteminin belirli sınıflarla birlikte kullanılması durumunda güvenlik açığından yararlanılabileceğini açıkladı.
Apache, güvenlik açığı bulunan bileşeni daha sıkı güvenlik varsayılanlarıyla geliştiren 2.0.27, 2.1.10 ve 2.2.4 sürümlerinin yayımlanmasıyla bu sorunu giderdi.
Ancak bu sürümlere yükseltme yapmak yeterli değildir. Kullanıcıların ayrıca, sağlanan üç yöntemden birini izleyerek açıkça izin verilmediği sürece tüm sınıfların reddedilmesini manuel olarak ayarlamaları gerekir.
Apache HugeGraph-Server’ın 1.0’dan 1.3’e kadar olan sürümlerini etkileyen güvenlik açığı, CVE-2024-43441 olarak izlenen bir kimlik doğrulama atlama sorunudur. Kimlik doğrulama mantığının hatalı doğrulanmasından kaynaklanır.
Apache HugeGraph-Server, grafik tabanlı verilerin verimli şekilde depolanmasını, sorgulanmasını ve analizini sağlayan bir grafik veritabanı sunucusudur.
Kimlik doğrulama atlama sorunu, HugeGraph-Server kullanıcıları için önerilen yükseltme hedefi olan 1.5.0 sürümünde giderilmiştir.
Üçüncü kusur CVE-2024-45387 olarak tanımlandı ve Apache Software Foundation bunu 9,9 kritik önem puanıyla derecelendirdi. Traffic Ops 8.0.0 ila 8.0.1 sürümlerini etkileyen bir SQL enjeksiyon sorunudur.
Apache Traffic Control, bir İçerik Dağıtım Ağı (CDN) yönetimi ve optimizasyon aracıdır.
Üründeki en son sorun, özel hazırlanmış PUT isteklerini kullanarak keyfi SQL komutlarının yürütülmesine izin veren SQL sorgularının yetersiz giriş temizliğinden kaynaklanmaktadır.
Sorun, bu hafta başında yayımlanan Apache Traffic Control sürüm 8.0.2’de düzeltildi. Apache ekibi, 7.0.0’dan 8.0.0’a kadar olan sürümlerin etkilenmediğini belirtti.
Sistem yöneticilerinin mümkün olan en kısa sürede en son ürün sürümüne yükseltmeleri şiddetle tavsiye edilir; özellikle bilgisayar korsanları, şirketlerin daha az çalışanın görevde olduğu ve yanıt sürelerinin daha uzun olduğu yılın bu döneminde grev yapmayı tercih ediyor.