Die Apache Software Foundation hat drei schwerwiegende Sicherheitslücken in ihren Kernprodukten identifiziert und behoben. Die Schwachstellen wurden mit kritischen CVSS-Scores zwischen 9,9 und 10,0 bewertet und ermöglichen potenziell Remote Code Execution sowie unauthorisierten Systemzugriff.
Apache MINA: Kritische Deserialisierungslücke mit maximaler Bedrohungsstufe
Die gravierendste Schwachstelle (CVE-2024-52046) betrifft den Netzwerk-Framework Apache MINA und erhielt die höchstmögliche CVSS-Bewertung von 10,0. Betroffen sind die Versionen 2.0-2.0.26, 2.1-2.1.9 und 2.2-2.2.3. Die Sicherheitslücke basiert auf einer unsicheren Java-Deserialisierung im ObjectSerializationDecoder, wodurch Angreifer potenziell beliebigen Code auf Zielsystemen ausführen können.
Authentifizierungsumgehung in HugeGraph-Server
Im Graphendatenbank-Management-System HugeGraph-Server wurde eine weitere kritische Schwachstelle (CVE-2024-43441) entdeckt. Der Fehler in der Validierungslogik ermöglicht es Angreifern, Authentifizierungsmechanismen zu umgehen. Alle Versionen von 1.0 bis 1.3 sind betroffen. Apache hat mit Version 1.5.0 ein Sicherheitsupdate bereitgestellt.
SQL-Injection-Schwachstelle in Traffic Control
Die dritte kritische Schwachstelle (CVE-2024-45387) wurde im CDN-Management-System Apache Traffic Control identifiziert. Mit einem CVSS-Score von 9,9 ermöglicht sie SQL-Injection-Angriffe in Traffic Ops 8.0.0-8.0.1. Unzureichend gefilterte Eingaben in SQL-Abfragen öffnen die Tür für die Ausführung beliebiger Befehle über manipulierte PUT-Requests.
Angesichts der erhöhten Bedrohungslage und der kritischen Natur dieser Schwachstellen ist unmittelbares Handeln erforderlich. Systemadministratoren wird dringend empfohlen, auf die aktuellsten Versionen zu aktualisieren: MINA 2.0.27/2.1.10/2.2.4, HugeGraph-Server 1.5.0 und Traffic Control 8.0.2. Besondere Aufmerksamkeit erfordert die MINA-Installation, die nach dem Update zusätzliche manuelle Konfigurationen zur Einschränkung bestimmter Klassen benötigt. Die zeitnahe Implementierung dieser Sicherheitsupdates ist entscheidend für die Aufrechterhaltung der Systemsicherheit und den Schutz vor potenziellen Angriffen.
