Поделиться
В ПО Apache найден третий критический «баг» за неделю
Выпущены экстренные обновления для уязвимости в Apache Traffic Control, набравшей 9,9 из 10 возможных баллов по шкале CVSS. Проблема связана с возможностью внедрять SQL-команды со стороны привилегированных пользователей
Нужны привилегии
Apache Software Foundation выпустило обновления безопасности, устраняющие критическую уязвимость в пакете Traffic Control. «Баг» CVE-2024-45387 получил оценку 9,9 из 10 возможных баллов по шкале угроз CVSS, так что установка этих обновлений должно стать приоритетом для пользователей пакета.
Traffic Control - это опенсорсный аналог CDN (Content Delivery Network - сеть доставки контента), созданный в 2018 г. и с тех пор являющийся топовым проектом для Apache Software Foundation.
Уязвимость в этом пакете открывает возможность для инъекции SQL-команд во версии Apache Traffic Control с индексами 8.0.0 - 8.0.1.
Технических данных о проблеме опубликовано минимальное количество. В бюллетене Apache говорится, что привилегированные пользователи с ролями admin, federation, operation, portal или steering из-за этой уязвимости получают возможность запускать произвольную команду через направление SQL-базе специально составленного запроса PUT.
«Баг» был обнаружен экспертом по информационной безопасности по имени Юань Люо, сотрудником подразделения корпорации Tencent.
Обновление 8.0.2 устраняет проблему. Это все известные к настоящему моменту подробности о данной уязвимости. Почему ей присвоена столь высокая оценка угрозы, хотя для эксплуатации требуются высокие привилегии, не объясняется.
Третья уязвимость за считанные дни
Между тем, только за последние недели это уже третья серьёзная уязвимость, для которой ASF выпускает срочные обновления.
В частности, в Apache HugeGraph-Server версий 1.0-1.3 обнаружилась критическая уязвимость, позволяющая обходить аутентификацию. «Баг», которому не присвоен индекс угроз, устраняется обновлением 1.5.
Чуть ранее Apache нейтрализовали уязвимость CVE-2024-56337, возникшую вследствие неполноценного исправления более ранней 9,8-балльной уязвимости CVE-2024-50379. Обе могли приводить к запуску произвольного кода в контексте уязвимых систем.
«Распространённость различных продуктов Apache Software Foundation обеспечивает и повышенное внимание к его уязвимостям по обе стороны баррикад, - говорит Александр Зонов, эксперт по информационной безопасности компании SEQ. - Как обычно в таких случаях, главный вопрос - кто быстрее найдёт проблему и успеет ли вендор её устранить до начала вредоносной эксплуатации. Выявление особо опасных «багов» до того, как они станут уязвимостями нулевого дня, - это позитивный исход».
Эксперт добавил также, что своевременное реагирование со стороны конечных пользователей играет не меньшую роль, чем действия вендора.
Поделиться
Короткая ссылка
