Súlyos Apache MINA sérülékenység
Az Apache Software Foundation (ASF) javításokat adott ki az Apache MINA Java hálózati alkalmazáskeretrendszerben felfedezett, maximális súlyosságú sérülékenységre, amely bizonyos körülmények között távoli kódfuttatást (RCE) tehet lehetővé.
A CVE-2024-52046 azonosítójú, 10.0 CVSS pontszámú sérülékenység az Apache MINA 2.0.X, 2.1.X és 2.2.X verzióit érinti.
A sérülékenység az ObjectSerializationDecoder komponensben található, amely a Java natív deszerializációs protokollját használja a bejövő sorosított adatok feldolgozására, de nem rendelkezik megfelelő biztonsági ellenőrzésekkel és védelmekkel. Ez lehetőséget ad a támadóknak arra, hogy speciálisan kialakított, rosszindulatú sorosított adatokat küldjenek, ami távoli kódfuttatáshoz vezethet.
Fontos megjegyezni, hogy a sérülékenység csak akkor kihasználható, ha az “IoBuffer#getObject()” metódust bizonyos osztályokkal, például a ProtocolCodecFilter és az ObjectSerializationCodecFactory osztályokkal együtt használják.
A probléma megoldásához nem elegendő a frissítés; a felhasználóknak explicit módon meg kell adniuk az ObjectSerializationDecoder példányában az engedélyezett osztályokat az újonnan bevezetett három metódus egyikével.
Az ASF nemrégiben több más biztonsági hibát is kijavított, többek között a Tomcat, a Traffic Control és a HugeGraph-Server rendszerekben.
Az Apache Struts webalkalmazás-keretrendszerben felfedezett, kritikus biztonsági hibát (CVE-2024-53677) is orvosolták, amelyet a támadók távoli kódfuttatásra használhattak ki; azóta aktív kihasználási kísérleteket is észleltek.
Az érintett termékek felhasználóinak erősen ajánlott mielőbb frissíteniük rendszereiket a legújabb verziókra a potenciális fenyegetések elleni védelem érdekében.