Apache 警告 MINA、HugeGraph 和 Traffic Control 存在严重缺陷

Apache 软件基金会发布安全更新，以解决影响 MINA、HugeGraph-Server 和 Traffic Control 产品的三个严重漏洞。

这些漏洞已在12月23日至25日发布的新软件版本中得到修补。然而，圣诞假期可能会导致修补速度变慢，并增加漏洞被利用的风险。

其中一个漏洞编号为 CVE-2024-52046，影响 MINA 版本 2.0 至 2.0.26、2.1 至 2.1.9 和 2.2 至 2.2.3。Apache 软件基金会对该问题的严重性评分为 10 分（满分 10 分）。

Apache MINA 是一个网络应用程序框架，为开发高性能、可扩展的网络应用程序提供了一个抽象层。

最新的漏洞在于由不安全的Java反序列化引起的“ObjectSerializationDecoder”，可能会导致远程代码执行（RCE）。

Apache 团队澄清说，如果“IoBuffer#getObject()”方法与某些类结合使用，则该漏洞可被利用。

Apache 在 2.0.27、2.1.10 和 2.2.4 版本的发布中解决了该问题，并通过更严格的安全默认值增强了易受攻击的组件。

但是，升级到这些版本还不够。用户还需要按照提供的三种方法之一手动设置拒绝所有类，除非明确允许。

该漏洞影响 Apache HugeGraph-Server 1.0 至 1.3 版本，是一个身份验证绕过问题，编号为CVE-2024-43441。该漏洞是由于对身份验证逻辑的验证不当造成的。

Apache HugeGraph-Server 是一个图形数据库服务器，可以高效存储、查询和分析基于图形的数据。

身份验证绕过问题已在 1.5.0 版本中得到解决，这是 HugeGraph-Server 用户的建议升级目标。

第三个漏洞编号为 CVE-2024-45387，Apache 软件基金会将其严重性评分定为 9.9。这是一个影响 Traffic Ops 版本 8.0.0 至 8.0.1 的 SQL 注入问题。

Apache Traffic Control 是一个内容分发网络 (CDN) 管理和优化工具。

该产品的最新问题是由于 SQL 查询的输入清理不足导致的，允许使用特制的 PUT 请求执行任意 SQL 命令。

本周早些时候发布的 Apache Traffic Control版本 8.0.2中已修复此问题。Apache 团队指出，版本 7.0.0 至 8.0.0 不受影响。

新闻链接：

https://www.bleepingcomputer.com/news/security/apache-warns-of-critical-flaws-in-mina-hugegraph-traffic-control/

讲述普通人能听懂的安全故事