آپاچی، سه آسیب ‌پذیری بحرانی را در محصولات MINA ،HugeGraph وTraffic Control پچ کرد!

بنیاد نرم افزار آپاچی برای رفع سه آسیب ‌پذیری بحرانی که محصولات MINA، HugeGraph-Server  و Traffic Control را تحت تاثیر قرار می‌دهند، به روزرسانی‌های امنیتی منتشر کرده است. این آسیب‌ پذیری‌ها در نسخه‌های جدید منتشر شده بین 23 تا 25 دسامبر پچ شده‌ا‌ند.

Apache MINA

یکی از باگ‌ها که با شناسه CVE-2024-52046 دنبال می‌شود، بر نسخه‌های 2.0 تا 2.0.26، 2.1 تا 2.1.9 و 2.2 تا 2.2.3 فریمورک MINA تأثیر می‌گذارد. این آسیب ‌پذیری بحرانی، امتیاز 10 از 10 را از بنیاد نرم افزار آپاچی دریافت کرده است!

CVE-2024-52046، امکان اجرای کد از راه دور (RCE) را تحت شرایط خاص از طریق شیوه‌های دنباله سازی ناامن در فریمورک فراهم می‌کند. Apache MINA یک فریمورک اپلیکیشن شبکه است که یک لایه انتزاعی برای توسعه برنامه‌های کاربردی شبکه با کارایی و مقیاس پذیری بالا فراهم می‌آورد.

این آسیب ‌پذیری در ObjectSerializationDecoder وجود دارد و ناشی از deserialization  یا عدم دنباله سازی ناامن جاوا بدون بررسی‌های امنیتی کافی است که می‌تواند منجر به اجرای کد از راه دور شود. این باگ به مهاجمان اجازه می‌دهد تا داده‌های سریالی مخرب ساخته ‌شده را ارسال کنند که احتمالاً منجر به RCE می‌گردد.

چنانچه متد IoBuffer#getObject() فراخوانی گردد و در ترکیب با کلاس‌های خاص به ویژه کلاس‌هایی مانند ProtocolCodecFilter و ObjectSerializationCodecFactory استفاده شود، آنگاه می‌توان از این آسیب پذیری سوء استفاده کرد.

همانطور که اشاره شد، بنیاد نرم‌افزار آپاچی، بیست و پنجم دسامبر ۲۰۲۴، پچ‌هایی را برای این آسیب ‌پذیری در نسخه‌های 2.0.27، 2.1.10 و 2.2.4 منتشر کرده است.

با این حال، صرفاً آپگرید کافی نیست. Adminها همچنین می‌بایست نسخه‌های به روزرسانی شده را به گونه‌ای پیکربندی کنند که به صراحت فقط کلاس‌های خاصی را برای deserialization با استفاده از روش‌های جدید معرفی شده در پچ مجاز کنند.

Apache HugeGraph-Server

آسیب ‌پذیری دوم که بر HugeGraph-Server آپاچی تأثیر می‌گذارد، یک باگ دور زدن مکانیزم احراز هویت است که با شناسه CVE-2024-43441 دنبال می‌شود. این باگ ناشی از عدم اعتبار سنجی صحیح در منطق احراز هویت است.

 HugeGraph-Serverآپاچی، یک سرور پایگاه داده گراف است که ذخیره سازی کارآمد، تهیه کوئری و آنالیز داده‌های مبتنی بر نمودار را امکان پذیر می‌سازد. CVE-2024-43441، نسخه‌های ۱.۰ تا ۱.۳ سرور HugeGraph-Server را تحت تأثیر قرار می‌دهد. این آسیب پذیری در نسخه ۱.۵.۰، پچ شده است.

Apache Traffic Control

آسیب پذیری بحرانی سوم نیز که با شناسه CVE-2024-45387 (امتیاز ۹.۹) دنبال می‌شود، یک باگ SQL injection است که بر Traffic Ops نسخه‌های ۸.۰.۰ تا ۸.۰.۱ تأثیر می‌گذارد. Apache Traffic Control یک ابزار مدیریت و بهینه سازی شبکه تحویل محتوا (CDN) است.

این باگ ناشی از پاکسازی (sanitization) ناکافی ورودی کوئری‌های SQL می‌باشد که امکان اجرای دستورات دلخواه SQL را با استفاده از درخواست‌های PUT ساخته شده خاص فراهم می‌آورد.

این آسیب پذیری در نسخه ۸.۰.۲ برطرف شده است. تیم آپاچی خاطرنشان کرد که نسخه‌های ۷.۰.۰ تا ۸.۰.۰ تحت تأثیر این آسیب پذیری قرار نمی‌گیرند.

توصیه امنیتی

به مدیران سیستم اکیداً توصیه می‌شود که در اسرع وقت نسبت به دریافت آخرین نسخه محصول آپاچی خود اقدام کنند.

منابع