Kritické zraniteľnosti v produktoch Apache MINA, HugeGraph-Server  a Traffic Control

Vývojári z The Apache Software Foundation vydali bezpečnostné aktualizácie, ktoré opravujú kritické zraniteľnosti v produktoch Apache MINA, Apache HugeGraph-Server a Apache Traffic Control. CVE-2024-52046 v sieťovom aplikačnom frameworku MINA možno zneužiť na vzdialené vykonanie škodlivého kódu. CVE-2024-43441 v Apache HugeGraph-Server umožňuje získanie úplnej kontroly nad systémom a CVE-2024-45387 (Traffic Control) možno zneužiť na realizáciu SQL injekcie.

Zraniteľné systémy:

• Apache MINA 2.0.X vo verziách starších ako 2.0.27
• Apache MINA 2.1.X vo verziách starších ako 2.1.10
• Apache MINA 2.2.X vo verziách starších ako 2.2.4
• Apache HugeGraph-Server vo verziách 1.0.X starších ako 1.5.0
• Apache Traffic Control vo verziách 8.0.X starších ako 8.0.2

Opis zraniteľnosti:

Apache MINA:

CVE-2024-52046 (CVSS 4.0 skóre 10,0)

CVE-2024-52046 v sieťovom aplikačnom frameworku MINA spočíva v nezabezpečenej, resp. neošetrenej deserializácii objektov Java v rámci funkcie ObjectSerializationDecoder a možno ju zneužiť na vzdialené vykonanie škodlivého kódu.

Apache HugeGraph-Server:

CVE-2024-43441 (CVSS skóre 9,8)

Apache HugeGraph-Server obsahuje zraniteľnosť s označením CVE-2024-43441, ktorú možno zneužiť na obídenie mechanizmov autentifikácie a získanie úplnej kontroly nad systémom.

Apache Traffic Control:

CVE-2024-45387 (CVSS skóre 9,9)

Traffic Ops obsahuje zraniteľnosť, ktorú by vzdialený autentifikovaný útočník s opráveniami úrovne „admin“, „federation“, „operations“, „portal“ alebo „steering“ mohol zaslaním špeciálne vytvorených požiadaviek HTTP PUT zneužiť na realizáciu SQL injekcie s následkom úplného narušenie dôvernosti, integrity a dostupnosti systému.

Možné škody:

• Obídenie mechanizmov autentifikácie
• Vzdialené vykonanie kódu
• Získanie úplnej kontroly nad systémom

Odporúčania:

Bezodkladná aktualizácia Apache MINA, Apache HugeGraph-Server a Apache Traffic Control na verzie špecifikované v časti „Zraniteľné systémy“ tohto varovania.

Zdroje:

• https://nvd.nist.gov/vuln/detail/CVE-2024-52046
• https://lists.apache.org/thread/4wxktgjpggdbto15d515wdctohb0qmv8
• https://nvd.nist.gov/vuln/detail/CVE-2024-43441
• https://lists.apache.org/thread/h2607yv32wgcrywov960jpxhvsmmlf12
• https://nvd.nist.gov/vuln/detail/CVE-2024-45387
• https://lists.apache.org/thread/t38nk5n7t8w3pb66z7z4pqfzt4443trr