Новости 9.9 из 10: в Traffic Control от Apache обнаружена критическая уязвимость

[NewsMaker]

Проблема затрагивает все версии программного обеспечения до свежего релиза.

---

---

Фонд Apache Software Foundation Для просмотра ссылки Войди или Зарегистрируйся для устранения критической уязвимости в системе Traffic Control. Обнаруженный недостаток получил максимально высокую оценку опасности — 9.9 баллов из 10 возможных по шкале CVSS.

Уязвимость, получившая индекс Для просмотра ссылки Войди или Зарегистрируйся позволяет злоумышленникам выполнять произвольные SQL-команды в базе данных. Проблема затрагивает версии Apache Traffic Control 8.0.1 и ниже.

По данным разработчиков, для эксплуатации уязвимости атакующему необходимы привилегированные права доступа с ролями «admin», «federation», «operations», «portal» или «steering». Злоумышленник может провести атаку путём отправки специально сформированного PUT-запроса.

Apache Traffic Control представляет собой открытую реализацию сети доставки контента (CDN). В июне 2018 года система Для просмотра ссылки Войди или Зарегистрируйся проекта верхнего уровня в рамках Apache Software Foundation.

Уязвимость была обнаружена специалистом по безопасности Юанем Луо из лаборатории безопасности Tencent. Для защиты от возможных атак пользователям рекомендуется обновить Apache Traffic Control до версии 8.0.2.

Фонд Apache также исправил уязвимость обхода аутентификации в Apache HugeGraph-Server ( Для просмотра ссылки Войди или Зарегистрируйся ), затрагивающую версии с 1.0 по 1.3. Исправление выпущено в версии 1.5.0. Кроме того, недавно разработчики Для просмотра ссылки Войди или Зарегистрируйся для критической уязвимости в Apache Tomcat ( Для просмотра ссылки Войди или Зарегистрируйся ), которая при определённых условиях может привести к удалённому выполнению кода.