Site icon Kiber.ba

Apache MINA ranjivost omogućava napadačima da izvrše daljinski kod

Apache MINA ranjivost omogućava napadačima da izvrše daljinski kod-Kiber.ba

Apache MINA ranjivost omogućava napadačima da izvrše daljinski kod-Kiber.ba

Nova kritična ranjivost ( CVE-2024-52046 ) je otkrivena u Apache MINA, potencijalno omogućavajući napadačima da izvrše daljinski kod iskorištavanjem nesigurnih procesa deserializacije.

Ova mana utiče na više verzija popularne mrežne biblioteke, izazivajući značajne bezbjednosne brige.

Objašnjena ranjivost

Problem leži u komponenti ObjectSerializationDecoder Apache MINA, koja koristi Java-in izvorni protokol deserializacije.

Dekoderu nedostaju adekvatni sigurnosni mehanizmi, koji omogućavaju napadačima da ubace maliciozne serijalizovane podatke. Kada se deserializiraju, ovi podaci mogu pokrenuti  Remote Code Execution (RCE), dovodeći pogođene sisteme u ozbiljan rizik.

Verzije pogođene

Sljedeće verzije Apache MINA su ranjive:

Organizacije koje koriste bilo koju od ovih verzija moraju poduzeti hitne mjere kako bi umanjile rizik.

Tim Apache MINA je objavio ispravke — 2.0.27, 2.1.10 i 2.2.4 — kako bi riješio ovu ranjivost.

Ova izdanja uključuju popravke za poboljšanje sigurnosti procesa deserijalizacije provođenjem strože validacije dolaznih serijaliziranih podataka.

Kako ublažiti ranjivost

  1. Odmah nadogradite
    Korisnici bi trebali izvršiti nadogradnju na zakrpljene verzije Apache MINA (2.0.27, 2.1.10 ili 2.2.4). Odlaganje ažuriranja povećava rizik od eksploatacije.
  2. Primjena sigurne deserializacije
    Nakon nadogradnje, programeri moraju konfigurisati ObjectSerializationDecoder eksplicitnim navođenjem prihvatljivih imena klasa za deserializaciju. U tu svrhu uvedene su tri nove metode:
    • prihvati (ClassNameMatcher classNameMatcher)
    • prihvati (uzorak uzorka)
    • accept(String… obrasci)
      Podrazumijevano, dekoder će sada odbaciti sve klase osim ako nije eksplicitno dozvoljeno.
  3. Procijenite korištenje aplikacije
    Na aplikacije koje ne koriste metodu IoBuffer#getObject() ili ProtocolCodecFilter sa ObjectSerializationCodecFactory ne utiče. Sprovođenje internog pregleda može pomoći da se suzi obim problema.

Na sreću, potprojekti FtpServer, SSHd i Vysper pod okriljem Apache MINA potvrđeno je da ova ranjivost nije pogođena.

Ova ranjivost naglašava rizike povezane sa nesigurnom deserializacijom u Java aplikacijama.

Organizacije moraju dati prioritet redovnim ažuriranjima, primijeniti stroge sigurnosne politike i pregledati korištenje biblioteka trećih strana kako bi se zaštitile od sličnih prijetnji. 

Izvor: CyberSecurityNews

Exit mobile version