Apache Software Foundation (ASF), Trafik Kontrolündeki kritik bir güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı; bu kusur başarıyla kullanıldığında bir saldırganın veritabanında rastgele Yapılandırılmış Sorgu Dili (SQL) komutları yürütmesine olanak verebilir.
CVE-2024-45387 olarak takip edilen SQL enjeksiyon güvenlik açığı, CVSS puanlama sisteminde 10,0 üzerinden 9,9 olarak derecelendirildi.
“Apache Traffic Control’deki Traffic Ops’ta bir SQL enjeksiyon güvenlik açığı <= 8.0.1, >= 8.0.0, ‘yönetici’, ‘federasyon’, ‘işlemler’, ‘portal’ veya ‘yönlendirme’ rolüne sahip ayrıcalıklı bir kullanıcının, özel hazırlanmış bir PUT isteği göndererek veritabanına karşı isteğe bağlı SQL yürütmesine olanak tanır” dedi proje yöneticileri. bir danışma belgesinde.
Apache Traffic Control, İçerik Dağıtım Ağının (CDN) açık kaynaklı bir uygulamasıdır. AS tarafından Haziran 2018’de üst düzey proje (TLP) olarak duyuruldu.
Tencent YunDing Güvenlik Laboratuvarı araştırmacısı Yuan Luo, güvenlik açığını keşfetme ve raporlama konusunda itibar kazandı. Apache Traffic Control 8.0.2 sürümünde yamalı olarak eklenmiştir.
Bu gelişme, ASF’nin Apache HugeGraph-Server’daki (CVE-2024-43441) 1.0’dan 1.3’e kadar olan sürümlerdeki kimlik doğrulama atlama kusurunu çözmesiyle ortaya çıktı. 1.5.0 sürümünde eksiklik için bir düzeltme yayımlandı.
Bu aynı zamanda Apache Tomcat’te belirli koşullar altında uzaktan kod yürütülmesine (RCE) neden olabilecek önemli bir güvenlik açığına (CVE-2024-56337) yönelik bir yamanın yayınlanmasının ardından geldi.
Potansiyel tehditlere karşı koruma sağlamak için kullanıcıların örneklerini yazılımın en son sürümlerine güncellemeleri önerilir.