Apache Software Foundation (ASF), Trafik Kontrolündeki kritik bir güvenlik kusurunu gidermek için güvenlik güncellemeleri yayınladı; bu kusur başarıyla kullanılırsa, bir saldırganın veritabanında rastgele Yapılandırılmış Sorgu Dili (SQL) komutları yürütmesine olanak tanıyabilir.
Şu şekilde izlenen SQL enjeksiyon güvenlik açığı: CVE-2024-45387CVSS puanlama sisteminde 10,0 üzerinden 9,9 puan aldı.
“Apache Traffic Control = 8.0.0’daki Traffic Ops’ta bulunan bir SQL enjeksiyon güvenlik açığı, ‘yönetici’, ‘federasyon’, ‘işlemler’, ‘portal’ veya ‘yönlendirme’ rolüne sahip ayrıcalıklı bir kullanıcının, veritabanına karşı rastgele SQL yürütmesine izin veriyor özel hazırlanmış bir PUT isteği göndererek” proje sorumluları söz konusu bir danışma belgesinde.
Apache Trafik Kontrolü İçerik Dağıtım Ağı’nın (CDN) açık kaynaklı bir uygulamasıdır. Oldu duyuruldu Haziran 2018’de AS tarafından üst düzey bir proje (TLP) olarak.
Tencent YunDing Güvenlik Laboratuvarı araştırmacısı Yuan Luo, güvenlik açığını keşfetme ve raporlama konusunda itibar kazandı. Apache Traffic Control 8.0.2 sürümünde yamalı olarak eklenmiştir.
Gelişme ASF’nin yaptığı gibi geliyor çözüldü Apache HugeGraph-Server’da (CVE-2024-43441) 1.0’dan 1.3’e kadar olan sürümlerde bir kimlik doğrulama atlama hatası. 1.5.0 sürümünde eksiklik için bir düzeltme yayımlandı.
Bu aynı zamanda Apache Tomcat’te belirli koşullar altında uzaktan kod yürütülmesine (RCE) neden olabilecek önemli bir güvenlik açığına (CVE-2024-56337) yönelik bir yamanın yayınlanmasının ardından geldi.
Potansiyel tehditlere karşı koruma sağlamak için kullanıcıların örneklerini yazılımın en son sürümlerine güncellemeleri önerilir.
