Apache предупреждает о критических уязвимостях в MINA, HugeGraph и Traffic Control

Фонд Apache Software Foundation сообщил об устранении трёх серьёзных уязвимостей в продуктах MINA, HugeGraph-Server и Traffic Control. Уязвимости получили высокие оценки по критичности и представляют серьёзную угрозу для пользователей. Обновления были выпущены с 23 по 25 декабря, но праздничный период может замедлить их установку, увеличивая риски.

В продукте Apache MINA обнаружена уязвимость CVE-2024-52046, связанная с небезопасной десериализацией данных в Java. Она позволяет злоумышленникам выполнять удалённый код и затрагивает версии 2.0–2.0.26, 2.1–2.1.9 и 2.2–2.2.3. Обновление до версий 2.0.27, 2.1.10 и 2.2.4 исправляет проблему, однако требует дополнительной настройки: администраторам нужно вручную запретить использование всех классов, кроме тех, которые явно разрешены.

В Apache HugeGraph-Server выявлена уязвимость CVE-2024-43441, позволяющая обойти аутентификацию из-за некорректной проверки логики авторизации. Проблема затрагивает версии 1.0–1.3 и была исправлена в версии 1.5.0, которую пользователям рекомендуется установить.

В Apache Traffic Control устранена уязвимость CVE-2024-45387, связанная с инъекцией SQL-команд через специально сформированные PUT-запросы. Проблема затрагивает версии 8.0.0 и 8.0.1 и получила оценку критичности 9.9 из 10. Исправление доступно в версии 8.0.2.

Системным администраторам настоятельно рекомендуется обновить все уязвимые продукты до последних версий. В праздничный период хакеры часто активизируются, пользуясь сокращённым количеством дежурного персонала и замедленной реакцией на инциденты.