Apache 软件基金会已发布安全更新,以修复其三个产品中的关键漏洞:MINA、HugeGraph-Server 和 Traffic Control。这些更新在 12 月 23 日至 25 日之间发布,解决了可能导致重大安全风险的严重问题,尤其是在假期期间,补丁可能会延迟。
其中一个漏洞 CVE-2024-52046 影响了网络应用程序框架 Apache MINA。此漏洞的最高严重性等级为 10,是由于“ObjectSerializationDecoder”组件中不安全的 Java 反序列化造成的,可能允许远程执行代码。Apache 已经发布了 2.0.27、2.1.10 和 2.2.4 版本来修复该问题,但用户还必须手动配置类拒绝设置才能获得全面保护。
另一个严重缺陷 CVE-2024-43441 会影响图形数据库服务器 Apache HugeGraph-Server。此影响版本 1.0 到 1.3 的身份验证绕过问题已在版本 1.5.0 中得到解决。建议用户升级到此版本以保护他们的系统。
第三个漏洞 CVE-2024-45387 会影响 Apache Traffic Control。文章中未完全披露此漏洞的详细信息,但敦促受影响产品的用户应用最新的安全更新以减轻潜在风险。