Apache Yazılım Vakfı (ASF), maksimum önem derecesine sahip bir güvenlik açığını gidermek için yamalar yayımladı. MİNA Belirli koşullar altında uzaktan kod yürütülmesine neden olabilecek Java ağ uygulama çerçevesi.
Şu şekilde izlendi: CVE-2024-52046güvenlik açığı 10,0 CVSS puanına sahiptir. 2.0.X, 2.1.X ve 2.2.X sürümlerini etkiler.
Proje sorumluları, “Apache MINA’daki ObjectSerializationDecoder, gelen serileştirilmiş verileri işlemek için Java’nın yerel seri durumdan çıkarma protokolünü kullanıyor ancak gerekli güvenlik kontrolleri ve savunmalardan yoksun.” söz konusu 25 Aralık 2024’te yayınlanan bir danışma belgesinde.
“Bu güvenlik açığı, saldırganların özel hazırlanmış kötü amaçlı serileştirilmiş veriler göndererek seri durumdan çıkarma sürecinden yararlanmasına olanak tanıyor ve potansiyel olarak uzaktan kod yürütme (RCE) saldırılarına yol açıyor.”
Ancak, güvenlik açığından yalnızca “IoBuffer#getObject()” yönteminin ProtokolCodecFilter ve ObjectSerializationCodecFactory gibi belirli sınıflarla birlikte çağrılması durumunda yararlanılabileceğini belirtmekte fayda var.
Apache, “Yükseltme yeterli olmayacak: ayrıca üç yeni yöntemden birini kullanarak kod çözücünün ObjectSerializationDecoder örneğinde kabul edeceği sınıflara açıkça izin vermeniz gerekir” dedi.
Açıklama, ASF’nin Tomcat (CVE-2024-56337), Trafik Kontrolü (CVE-2024-45387) ve HugeGraph-Server’ı (CVE-2024-43441) kapsayan birden fazla kusuru gidermesinden günler sonra geldi.
Bu ayın başlarında Apache, Struts web uygulaması çerçevesinde (CVE-2024-53677) bir saldırganın uzaktan kod yürütme elde etmek için kötüye kullanabileceği kritik bir güvenlik açığını da düzeltti. O zamandan beri aktif istismar girişimleri tespit edildi.
Bu ürünlerin kullanıcılarının, olası tehditlere karşı korunmak için kurulumlarını mümkün olan en kısa sürede en son sürümlere güncellemeleri şiddetle tavsiye edilir.
