La Apache Software Foundation ha publicado actualizaciones de seguridad para abordar tres problemas graves que afectan a los productos MINA, HugeGraph-Server y Traffic Control.
Las vulnerabilidades se solucionaron en nuevas versiones de software lanzadas entre el 23 y el 25 de diciembre. Sin embargo, el período de vacaciones puede resultar en un ritmo de actualización más lento y un mayor riesgo de explotación.
Uno de los errores se rastrea como CVE-2024-52046 y afecta a las versiones de MINA 2.0 a 2.0.26, 2.1 a 2.1.9 y 2.2 a 2.2.3. El problema recibió una puntuación de gravedad crítica de 10 sobre 10 por parte de la Apache Software Foundation.
Apache MINA es un marco de aplicaciones de red que proporciona una capa de abstracción para desarrollar aplicaciones de red escalables y de alto rendimiento.
El último problema radica en “ObjectSerializationDecoder” causado por una deserialización insegura de Java, lo que podría conducir a la ejecución remota de código (RCE).
El equipo de Apache aclaró que la vulnerabilidad se puede explotar si el método ‘IoBuffer#getObject()’ se usa en combinación con ciertas clases.
Apache solucionó el problema con el lanzamiento de las versiones 2.0.27, 2.1.10 y 2.2.4, que mejoraron el componente vulnerable con configuraciones de seguridad predeterminadas más estrictas.
Sin embargo, actualizar a estas versiones no es suficiente. Los usuarios también deben configurar manualmente el rechazo de todas las clases a menos que se permita explícitamente siguiendo uno de los tres métodos propuestos.
La vulnerabilidad que afecta a Apache HugeGraph-Server versiones 1.0 a 1.3 es un problema de omisión de autenticación rastreado como CVE-2024-43441. Esto se debe a una validación incorrecta de la lógica de autenticación.
Apache HugeGraph-Server es un servidor de base de datos de gráficos que permite el almacenamiento, consulta y análisis eficiente de datos basados en gráficos.
El problema de omisión de autenticación fue abordado en la versión 1.5.0que es el objetivo de actualización recomendado para los usuarios de HugeGraph-Server.
La tercera falla se identifica como CVE-2024-45387 y la Apache Software Foundation le otorgó una puntuación de gravedad crítica de 9,9. Este es un problema de inyección SQL que afecta a las versiones 8.0.0 a 8.0.1 de Traffic Ops.
Apache Traffic Control es una herramienta de optimización y gestión de redes de entrega de contenidos (CDN).
El problema final del producto se debe a una comprobación insuficiente de las entradas de las consultas SQL, lo que permite ejecutar comandos SQL arbitrarios mediante consultas PUT especialmente diseñadas.
El problema se ha resuelto en Apache Traffic Control. versión 8.0.2lanzado a principios de esta semana. El equipo de Apache observó que las versiones 7.0.0 a 8.0.0 no se ven afectadas.
Se recomienda encarecidamente que los administradores de sistemas actualicen a la última versión del producto lo antes posible, especialmente porque los piratas informáticos suelen optar por atacar en esta época del año en la que las empresas tienen menos empleados en servicio y los tiempos de respuesta son más largos.