L’Apache Software Foundation a publié des mises à jour de sécurité pour résoudre trois problèmes graves affectant les produits MINA, HugeGraph-Server et Traffic Control.
Les vulnérabilités ont été corrigées dans de nouvelles versions logicielles publiées entre le 23 et le 25 décembre. Cependant, la période des vacances peut entraîner un ralentissement du taux de correction et un risque accru d’exploitation.
L’un des bogues est suivi sous la référence CVE-2024-52046 et affecte les versions 2.0 à 2.0.26, 2.1 à 2.1.9 et 2.2 à 2.2.3 de MINA. Le problème a reçu un score de gravité critique de 10 sur 10 de l’Apache Software Foundation
Apache MINA est un framework d’application réseau qui fournit une couche d’abstraction pour le développement d’applications réseau hautes performances et évolutives.
Le dernier problème réside dans le « décodage de la sérialisation des objets » causé par une désérialisation Java non sécurisée, conduisant potentiellement à l’exécution de code à distance (RCE).
L’équipe Apache a précisé que la vulnérabilité est exploitable si la méthode’ IoBuffer#getObject () ‘ est utilisée en combinaison avec certaines classes.
Apache a résolu le problème avec la publication des versions 2.0.27, 2.1.10 et 2.2.4, qui ont amélioré le composant vulnérable avec des valeurs par défaut de sécurité plus strictes.
Cependant, la mise à niveau vers ces versions ne suffit pas. Les utilisateurs doivent également définir manuellement le rejet de toutes les classes, sauf autorisation explicite en suivant l’une des trois méthodes fournies.
La vulnérabilité affectant Apache HugeGraph-Server versions 1.0 à 1.3 est un problème de contournement d’authentification répertorié sous le numéro CVE-2024-43441. Cela est dû à une validation incorrecte de la logique d’authentification.
Apache HugeGraph-Server est un serveur de base de données de graphes qui permet un stockage, une interrogation et une analyse efficaces des données basées sur des graphes.
Le problème de contournement de l’authentification a été résolu dans la version 1.5.0, qui est la cible de mise à niveau recommandée pour les utilisateurs de HugeGraph-Server.
La troisième faille est identifiée comme CVE-2024-45387 et l’Apache Software Foundation lui a attribué un score de gravité critique de 9,9. Il s’agit d’un problème d’injection SQL affectant les versions 8.0.0 à 8.0.1 de Traffic Ops.
Apache Traffic Control est un outil de gestion et d’optimisation de réseau de diffusion de contenu (CDN).
Le dernier problème sur le produit est causé par la désinfection insuffisante des entrées des requêtes SQL, permettant l’exécution arbitraire de commandes SQL à l’aide de requêtes PUT spécialement conçues.
Le problème a été résolu dans la version 8.0.2 d’Apache Traffic Control, publiée plus tôt cette semaine. L’équipe Apache a noté que les versions 7.0.0 à 8.0.0 ne sont pas affectées.
Il est fortement recommandé aux administrateurs système de passer à la dernière version du produit dès que possible, d’autant plus que les pirates informatiques choisissent souvent de faire grève à cette période de l’année où les entreprises ont moins d’employés en service et les temps de réponse sont plus longs.