Агентство кибербезопасности и инфраструктуры США (CISA) добавило в свой каталог известных эксплуатируемых уязвимостей (KEV) пять дефектов, среди которых - дефект удаленного выполнения кода (RCE), затрагивающий сервер Apache HugeGraph-Server.
Дефект, отслеживаемый как CVE-2024-27348 и имеющий рейтинг critical (CVSS v3.1 score: 9.8), представляет собой уязвимость неправильного управления доступом, которая затрагивает HugeGraph-Server версий от 1.0.0 и до 1.3.0, но не включая ее.
Apache устранил уязвимость 22 апреля 2024 года, выпустив версию 1.3.0. Помимо обновления до последней версии, пользователям также рекомендовано использовать Java 11 и включить систему Auth.
Также было предложено включить функцию «Whitelist-IP/port» для повышения безопасности выполнения RESTful-API, который был вовлечен в потенциальные цепочки атак.
Теперь CISA предупредила, что активная эксплуатация CVE-2024-27348 была замечена в дикой природе, и дала федеральным агентствам и другим организациям критической инфраструктуры время до 9 октября 2024 года, чтобы применить средства защиты или прекратить использование продукта.
Apache HugeGraph-Server - основной компонент проекта Apache HugeGraph, базы данных графов с открытым исходным кодом, предназначенной для работы с большими графовыми данными с высокой производительностью и масштабируемостью, поддерживающей сложные операции, необходимые при исследовании глубоких связей, кластеризации данных и поиске путей.
Продукт используется, в частности, телекоммуникационными операторами для выявления мошенничества и анализа сетей, финансовыми службами для контроля рисков и анализа моделей транзакций, а также социальными сетями для анализа связей и автоматизированных рекомендательных систем.
В условиях активной эксплуатации и использования продукта в важных корпоративных средах применение доступных обновлений безопасности и мер по их устранению необходимо как можно скорее.
На этот раз в KEV добавлены еще четыре дефекта:
Включение этих старых уязвимостей не является признаком недавней эксплуатации, а служит для пополнения каталога KEV за счет документирования недостатков безопасности, которые, как было подтверждено, использовались в атаках в какой-то момент в прошлом.
178Пользователи macOS 15 «Секвойя» сообщают об ошибках сетевого подключения при использовании некоторых решений для обнаружения и реагирования на конечные точки (EDR) или виртуальных частных сетей (VPN), а также веб-браузеров.
253Предложение Safe C++ Extensions предоставит разработчикам C++ безопасные для памяти реализации основных структур данных и алгоритмов, а также функции, предотвращающие распространенные ошибки, связанные с памятью.
180CISA и ФБР призвали компании-производители технологий пересмотреть свое программное обеспечение и убедиться, что будущие версии не содержат уязвимостей межсайтового скриптинга перед отправкой.
154Продолжаем добавлять языки программирования для Вас.
Впереди много интересного!
Только свежие новости программирования и технологий каждый день.
Комментарии