Apache Yazılım Vakfı (ASF), MINA Java ağ uygulaması çerçevesinde belirli koşullar altında uzaktan kod yürütülmesine neden olabilecek maksimum önem derecesine sahip bir güvenlik açığını gidermek için yamalar yayınladı.
Şu şekilde izlendi: CVE-2024-52046güvenlik açığı 10,0 CVSS puanına sahiptir. 2.0.X, 2.1.X ve 2.2.X sürümlerini etkiler.
Proje yöneticileri 25 Aralık 2024’te yayınlanan bir danışma belgesinde “Apache MINA’daki ObjectSerializationDecoder, gelen serileştirilmiş verileri işlemek için Java’nın yerel seri durumdan çıkarma protokolünü kullanıyor ancak gerekli güvenlik kontrolleri ve savunmalardan yoksun” dedi.
“Bu güvenlik açığı, saldırganların özel hazırlanmış kötü amaçlı serileştirilmiş veriler göndererek seri durumdan çıkarma sürecinden yararlanmasına olanak tanıyor ve potansiyel olarak uzaktan kod yürütme (RCE) saldırılarına yol açıyor.”
Ancak, güvenlik açığından yalnızca “IoBuffer#getObject()” yönteminin ProtokolCodecFilter ve ObjectSerializationCodecFactory gibi belirli sınıflarla birlikte çağrılması durumunda yararlanılabileceğini belirtmekte fayda var.
Apache, “Yükseltme yeterli olmayacak: ayrıca üç yeni yöntemden birini kullanarak kod çözücünün ObjectSerializationDecoder örneğinde kabul edeceği sınıflara açıkça izin vermeniz gerekir” dedi.
Açıklama, ASF’nin Tomcat (CVE-2024-56337), Trafik Kontrolü (CVE-2024-45387) ve HugeGraph-Server’ı (CVE-2024-43441) kapsayan birden fazla kusuru gidermesinden günler sonra geldi.
Bu ayın başlarında Apache, Struts web uygulaması çerçevesinde (CVE-2024-53677) bir saldırganın uzaktan kod yürütme elde etmek için kötüye kullanabileceği kritik bir güvenlik kusurunu da düzeltti. O zamandan beri aktif istismar girişimleri tespit edildi.
Bu ürünlerin kullanıcılarının, olası tehditlere karşı korunmak için kurulumlarını mümkün olan en kısa sürede en son sürümlere güncellemeleri şiddetle tavsiye edilir.