Apache Yazılım Vakfı, MINA, HugeGraph-Server ve Traffic Control ürünlerinde tespit edilen üç kritik güvenlik açığını gidermek için güncellemeler yayınladı. Güvenlik açıkları, 23-25 Aralık tarihleri arasında çıkan yeni yazılım sürümleriyle kapatıldı. Ancak tatil dönemi nedeniyle yamaların uygulanma hızının yavaşlayabileceği ve kötüye kullanım riskinin artabileceği belirtiliyor.
Apache MINA’da Kritik Güvenlik Açığı (CVE-2024-52046)
Apache MINA, yüksek performanslı ve ölçeklenebilir ağ uygulamaları geliştirmek için kullanılan bir ağ uygulama çerçevesidir. CVE-2024-52046 kodlu açık, 2.0 ile 2.0.26, 2.1 ile 2.1.9, 2.2 ile 2.2.3 arasındaki MINA sürümlerini etkiliyor. Bu güvenlik açığı, Java serileştirmesi sırasında güvenlik sorunlarına yol açabiliyor ve uzaktan kod çalıştırma (RCE) riski oluşturuyor. Apache, bu sorunu 2.0.27, 2.1.10 ve 2.2.4 sürümleriyle çözdü. Ancak sadece sürüm yükseltmek yeterli değil. Kullanıcıların, yalnızca izin verilen sınıfları kabul edecek şekilde sınıf reddini manuel olarak yapılandırmaları gerekiyor.
HugeGraph-Server’da Kimlik Doğrulama Bypass Sorunu (CVE-2024-43441)
Apache HugeGraph-Server, grafik tabanlı verilerin verimli depolanması, sorgulanması ve analiz edilmesi için kullanılan bir veritabanı sunucusudur. CVE-2024-43441 kodlu güvenlik açığı, 1.0 ile 1.3 arasındaki HugeGraph-Server sürümlerinde kimlik doğrulama bypass sorununa yol açıyor. Bu açık, yanlış kimlik doğrulama doğrulama mantığından kaynaklanıyor. Apache, bu açığı 1.5.0 sürümünde giderdi. HugeGraph-Server kullanıcılarının bu sürüme geçmeleri öneriliyor.
Traffic Control’de SQL Enjeksiyonu Sorunu (CVE-2024-45387)
Apache Traffic Control, İçerik Dağıtım Ağı (CDN) yönetimi ve optimizasyonu için kullanılan bir araçtır. CVE-2024-45387 kodlu SQL enjeksiyonu, Traffic Ops 8.0.0 ile 8.0.1 arasındaki sürümleri etkiliyor. Bu açık, SQL sorgularının yetersiz doğrulanmasından kaynaklanıyor ve kötü niyetli PUT istekleriyle zararlı SQL komutlarının çalıştırılmasına imkan tanıyor. Apache, bu açığı 8.0.2 sürümünde düzeltti. 7.0.0 ile 8.0.0 arasındaki sürümler ise etkilenmiyor.
Sistem yöneticilerinin, bu güvenlik açıklarından korunmak için ürünlerini en son sürümlere yükseltmeleri şiddetle tavsiye ediliyor. Ayrıca tatil döneminde, çalışan sayısının azalması ve yanıt sürelerinin uzaması nedeniyle hacker saldırılarının artabileceği uyarısında bulunuluyor.