Apache軟件基金會近期發(fā)布了關(guān)鍵的安全更新，旨在解決MINA、HugeGraph-Server和Traffic Control產(chǎn)品中存在的三個重大安全問題。這些漏洞已在12月23日至25日期間發(fā)布的新軟件版本中通過補丁進行了修復(fù)。然而，由于正值假期，補丁的部署速度可能會受到影響，從而增加漏洞被利用的風(fēng)險。

其中，CVE-2024-52046是針對MINA框架的一個嚴(yán)重漏洞，影響了MINA的2.0至2.0.26、2.1到2.1.9以及2.2到2.2.3版本。Apache軟件基金會為這一漏洞評定了最高級別的嚴(yán)重性評分。MINA是一個網(wǎng)絡(luò)應(yīng)用程序框架，為開發(fā)者提供了構(gòu)建高性能和可擴展網(wǎng)絡(luò)應(yīng)用程序所需的抽象層。然而，由于存在不安全的Java去序列化問題，特別是“ObjectSerializationDecoder”可能導(dǎo)致遠程代碼執(zhí)行（RCE）。Apache團隊已經(jīng)通過發(fā)布MINA的2.0.27、2.1.10和2.2.4版本來修復(fù)這一問題，并建議用戶升級至這些版本，并手動設(shè)置所有類的拒絕，除非按照提供的三個方法之一明確允許。

對于Apache HugeGraph-Server，一個標(biāo)記為CVE-2024-43441的漏洞允許繞過身份驗證，影響了版本1.0到1.3。HugeGraph-Server是一個圖形數(shù)據(jù)庫服務(wù)器，能夠高效地存儲、查詢和分析圖形數(shù)據(jù)。這一問題是由于對身份驗證邏輯的不正確驗證引起的，已在1.5.0版本中得到了修復(fù)。Apache建議HugeGraph-Server用戶升級至1.5.0版本以消除此漏洞。

第三個漏洞是CVE-2024-45387，一個針對TrafficOps的SQL注入漏洞，影響了版本8.0.0至8.0.1。TrafficOps是Apache流量控制的一部分，用于內(nèi)容交付網(wǎng)絡(luò)（CDN）的管理和優(yōu)化。該漏洞是由于SQL查詢輸入消毒不足，允許通過特殊設(shè)計的PUT請求執(zhí)行任意SQL命令。Apache軟件基金會為這一漏洞評定了接近最高級別的嚴(yán)重性評分。

為確保系統(tǒng)的安全性，建議所有相關(guān)用戶盡快應(yīng)用這些安全更新，并采取必要的措施來減少漏洞被利用的風(fēng)險。

本公眾號所發(fā)布的文章皆源自于互聯(lián)網(wǎng)轉(zhuǎn)載或作者投稿并授予的原創(chuàng)作品，文章末尾有詳細出處標(biāo)注，其內(nèi)含內(nèi)容及圖片之版權(quán)均屬于原網(wǎng)站或作者本人，本公眾號對此不持立場，若發(fā)現(xiàn)有非故意侵權(quán)或轉(zhuǎn)載失當(dāng)之處，敬請隨時聯(lián)系我們進行妥善處理！文章來源：https://www.bleepingcomputer.com

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明