Apache advierte sobre fallas críticas en MINA, HugeGraph y Traffic Control

Iniciado por AXCESS, Diciembre 27, 2024, 05:45:03 PM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Diciembre 27, 2024, 05:45:03 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La Apache Software Foundation ha publicado actualizaciones de seguridad para solucionar tres problemas graves que afectan a los productos MINA, HugeGraph-Server y Traffic Control.

Las vulnerabilidades se solucionaron en nuevas versiones de software publicadas entre el 23 y el 25 de diciembre. Sin embargo, el período de vacaciones puede provocar una tasa de parches más lenta y un mayor riesgo de explotación.

Uno de los errores se identifica como CVE-2024-52046 y afecta a las versiones 2.0 a 2.0.26, 2.1 a 2.1.9 y 2.2 a 2.2.3 de MINA. El problema recibió una puntuación de gravedad crítica de 10 sobre 10 de la Apache Software Foundation.

Apache MINA es un marco de trabajo de aplicaciones de red que proporciona una capa de abstracción para desarrollar aplicaciones de red escalables y de alto rendimiento.

El último problema radica en 'ObjectSerializationDecoder' causado por una deserialización de Java insegura, que podría llevar a una ejecución de código remoto (RCE).

El equipo de Apache aclaró que la vulnerabilidad es explotable si se utiliza el método 'IoBuffer#getObject()' en combinación con ciertas clases.

Apache abordó el problema con el lanzamiento de las versiones 2.0.27, 2.1.10 y 2.2.4, que mejoraron el componente vulnerable con valores predeterminados de seguridad más estrictos.

Sin embargo, actualizar a esas versiones no es suficiente. Los usuarios también deben configurar manualmente el rechazo de todas las clases a menos que se permita explícitamente siguiendo uno de los tres métodos proporcionados.

La vulnerabilidad que afecta a las versiones 1.0 a 1.3 de Apache HugeGraph-Server es un problema de omisión de autenticación identificado como CVE-2024-43441. Es causado por una validación incorrecta de la lógica de autenticación.

Apache HugeGraph-Server es un servidor de base de datos de gráficos que permite el almacenamiento, la consulta y el análisis eficientes de datos basados en gráficos.

El problema de omisión de autenticación se solucionó en la versión 1.5.0, que es el objetivo de actualización recomendado para los usuarios de HugeGraph-Server.

La tercera falla se identificó como CVE-2024-45387 y la Apache Software Foundation la calificó con una puntuación de gravedad crítica de 9,9. Es un problema de inyección SQL que afecta a las versiones 8.0.0 a 8.0.1 de Traffic Ops.

Apache Traffic Control es una herramienta de optimización y administración de Content Delivery Network (CDN).

El último problema del producto se debe a la insuficiente desinfección de la entrada de las consultas SQL, lo que permite la ejecución arbitraria de comandos SQL mediante solicitudes PUT especialmente diseñadas.

El problema se solucionó en la versión 8.0.2 de Apache Traffic Control, publicada a principios de esta semana. El equipo de Apache señaló que las versiones 7.0.0 hasta la 8.0.0 no se ven afectadas.

Se recomienda encarecidamente a los administradores de sistemas que actualicen a la última versión del producto lo antes posible, especialmente porque los piratas informáticos suelen optar por atacar durante esta época del año cuando las empresas tienen menos empleados de servicio y los tiempos de respuesta son más largos.

Fuente:
BleeepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario