Berita

Apache menyoroti kerentanan yang signifikan pada MINA, HugeGraph, dan Traffic Control 2024

Apache Software Foundation (ASF) telah merilis pembaruan keamanan untuk mengatasi tiga masalah kritis yang memengaruhi produk MINA, HugeGraph-Server, dan Traffic Control.

Kerentanan pertama, yaitu MINA telah diperbaiki dalam versi perangkat lunak baru yang dirilis antara 23 hingga 25 Desember 2024 lalu. Namun, pada periode liburan dapat menyebabkan tingkat pembaruan lebih lambat dan meningkatkan risiko eksploitasi. Salah satu bug, yang diberi kode CVE-2024-52046, memengaruhi MINA versi 2.0 hingga 2.0.26, 2.1 hingga 2.1.9, dan 2.2 hingga 2.2.3. Dan masalah ini menerima skor tingkat keparahan kritis 10 dari 10 oleh ASF.

Informasi Catatan CVE

Apache MINA adalah kerangka aplikasi jaringan yang menyediakan lapisan abstraksi untuk mengembangkan aplikasi jaringan yang berkinerja tinggi dan skalabel.

Masalah terbaru terletak pada ‘ObjectSerializationDecoder’ yang disebabkan oleh deserialisasi Java yang tidak aman, yang berpotensi mengarah pada remote code execution (RCE). Tim Apache menjelaskan bahwa kerentanan ini dapat dieksploitasi jika metode ‘IoBuffer#getObject()’ digunakan bersamaan dengan kelas-kelas tertentu. Apache menangani masalah ini dengan merilis versi 2.0.27, 2.1.10, dan 2.2.4, yang meningkatkan komponen rentan dengan pengaturan keamanan yang lebih ketat secara default.

Namun, meningkatkan ke versi tersebut saja tidak cukup. Pengguna juga perlu secara manual menetapkan penolakan terhadap semua kelas kecuali yang diizinkan secara eksplisit dengan mengikuti salah satu dari tiga metode yang disediakan.

Kerentanan kedua yang memengaruhi Apache HugeGraph-Server versi 1.0 hingga 1.3 adalah masalah bypass otentikasi yang dilacak sebagai CVE-2024-43441. Masalah ini disebabkan oleh validasi logika otentikasi yang tidak tepat.

Informasi Catatan CVE

Apache HugeGraph-Server adalah server basis data graf yang memungkinkan penyimpanan, kueri, dan analisis data berbasis graf secara efisien. Masalah bypass otentikasi ini telah diperbaiki pada versi 1.5.0, yang direkomendasikan sebagai target pembaruan untuk pengguna HugeGraph-Server.

“Kerentanan ketiga diidentifikasi sebagai CVE-2024-45387, dengan skor tingkat keparahan kritis 9.9 dari ASF. Ini adalah masalah injeksi SQL yang memengaruhi Traffic Ops versi 8.0.0 hingga 8.0.1. Kerentanan ini memungkinkan pengguna dengan hak istimewa dengan peran ‘admin’, ‘federation’, ‘operations’, ‘portal, atau ‘steering’ untuk menjalankan perintah SQL sembarangan terhadap database dengan mengirimkan permintaan “PUT” yang dirancang khusus.” kata pemelihara proyek dalam sebuah pengumumannya.

Apache Traffic Control adalah alat pengelolaan dan optimalisasi content delivery network (CDN). Proyek ini diumumkan sebagai top-level-project (TLP) oleh ASF pada Juni 2018.

Yuan Luo, peneliti dari Tencent Yun Ding Security Lab., diakui sebagai pihak yang menemukan dan melaporkan kerentanan ini. Masalah tersebut telah di perbaiki dalam Apache Traffic Control versi 8.0.2, yang dirilis awal pekan lalu. Tim Apache mencatat bahwa versi 7.0.0 hingga 8.0.0 tidak terpengaruh.

Administrator sistem sangat disarankan untuk segera memperbarui ke versi produk terbaru, terutama karena peretas sering kali memilih menyerang pada waktu-waktu seperti ini ketika perusahaan memiliki lebih sedikit karyawan yang bertugas dan waktu respons lebih lama.

Sumber:
https://thehackernews.com/2024/12/critical-sql-injection-vulnerability-in.html
https://www.bleepingcomputer.com/news/security/apache-warns-of-critical-flaws-in-mina-hugegraph-traffic-control/
https://www.bleepingcomputer.com/news/security/apache-fixes-remote-code-execution-bypass-in-tomcat-web-server/
https://thehackernews.com/2024/12/apache-tomcat-vulnerability-cve-2024.html
https://nvd.nist.gov/vuln/detail/CVE-2024-52046
https://lists.apache.org/thread/4wxktgjpggdbto15d515wdctohb0qmv8
https://www.bleepingcomputer.com/news/security/fortinet-warns-of-critical-fortiwlm-bug-giving-hackers-admin-privileges/