アパッチ・ソフトウェア・ファウンデーションは、MINA、HugeGraph-Server、Traffic Control製品に影響を及ぼす3つの深刻な問題に対処するためのセキュリティ・アップデートをリリースした。
これらの脆弱性は、12月23日から25日の間にリリースされた新しいソフトウェア・バージョンで修正された。しかし、年末年始の休暇期間中は、パッチの適用速度が遅くなり、悪用されるリスクが高まる可能性がある。
バグの1つは、CVE-2024-52046として追跡され、MINAのバージョン2.0~2.0.26、2.1~2.1.9、2.2~2.2.3に影響する。この問題は、Apache Software Foundationから10点満点中10点のクリティカルな重大度スコアを得ています。
Apache MINAは、高性能でスケーラブルなネットワーク・アプリケーションを開発するための抽象化レイヤーを提供するネットワーク・アプリケーション・フレームワークである。
最新の問題は、安全でないJavaのデシリアライズに起因する「ObjectSerializationDecoder」にあり、リモート・コード実行(RCE)につながる可能性がある。
Apacheチームは、この脆弱性は「IoBuffer#getObject()」メソッドが特定のクラスと組み合わせて使用された場合に悪用可能であることを明らかにした。
Apacheはバージョン2.0.27、2.1.10、2.2.4のリリースでこの問題に対処し、脆弱なコンポーネントをより厳格なセキュリティ・デフォルトで強化した。
しかし、これらのバージョンにアップグレードするだけでは十分ではない。ユーザはまた、提供されている3つの方法のうちの1つに従って明示的に許可されない限り、すべてのクラスの拒否を手動で設定する必要がある。
Apache HugeGraph-Server バージョン 1.0 から 1.3 に影響を与える脆弱性は、CVE-2024-43441 として追跡されている認証バイパスの問題です。これは、認証ロジックの不適切な検証によって引き起こされます。
Apache HugeGraph-Server はグラフデータベースサーバであり、グラフベースのデータの効率的な保存、問い合わせ、分析を可能にします。
認証バイパス問題はバージョン1.5.0で対処されており、HugeGraph-Serverユーザの推奨アップグレードターゲットとなっています。
3つ目の欠陥は、CVE-2024-45387として特定され、Apache Software Foundationはこの欠陥の重要度を9.9と評価した。これはSQLインジェクションの問題で、Traffic Opsのバージョン8.0.0から8.0.1に影響を与えます。
Apache Traffic Controlは、コンテンツ・デリバリー・ネットワーク(CDN)の管理および最適化ツールです。
同製品における最新の問題は、SQLクエリの入力サニタイズが不十分であることに起因しており、特別に細工されたPUTリクエストを使用して任意のSQLコマンドを実行することが可能です。
この問題は、今週初めにリリースされた Apache Traffic Controlバージョン 8.0.2 で修正された。Apacheチームは、バージョン7.0.0から8.0.0までは影響を受けないと指摘している。
システム管理者は、できるだけ早く製品の最新バージョンにアップグレードすることを強く推奨する。特にハッカーは、企業の従業員が少なくなり、対応時間が長くなるこの時期に攻撃を仕掛けることが多いからだ。
Comments