S’han detectat diverses vulnerabilitats en productes d’Apatxe. A continuació s’analitzen les altes i crítiques, s’enumeren els productes afectats, i s’exposen solucions i mitigacions disponibles.
ANÀLISI
Les vulnerabilitats detectades han rebut els següents identificadors:
– CVE-2023-27524 (CVSS 8.9):
En Apatxe Superset, versions fins a la 2.0.1 inclusivament, les instal·lacions que no han alterat la SECRET_KEY configurada per defecte segons les instruccions d’instal·lació permeten a un atacant autenticar-se i accedir a recursos no autoritzats. Això no afecta als administradors de Superset que hagen canviat el valor per defecte de la configuració de SECRET_KEY.
– CVE-2023-30771 (CVSS 9.8):
En Apache Software Foundation Apache IoTDB versió 0.13.3, el component iotdb-web-workbench es veu afectat per una vulnerabilitat d’autorització incorrecta. iotdb-web-workbench és un component opcional de IoTDB, que proporciona una consola web de la base de dades.
– CVE-2022-47501 (CVSS 7.5):
Hi ha una vulnerabilitat de lectura arbitrària d’arxius en Apache Software Foundation Apache OFBiz quan s’utilitza el plugin Solr. Esta vulnerabilitat és explotable per atacants no autoritzats.
– CVE-2022-45064 (CVSS 9.0):
A nivell d’Apache Sling, el SlingRequestDispatcher no implementa correctament l’API RequestDispatcher, la qual cosa resulta en problemes de cross-site scripting basats en include. La vulnerabilitat és explotable per un atacant capaç d’incloure un recurs amb una mena de contingut específic i de controlar la ruta d’inclusió (és a dir, escriure contingut). L’impacte d’un atac exitós és l’escalada de privilegis
a poder administratiu.
RECURSOS AFECTATS
– Apache Superset <= v2.0.1 (CVE-2023-27524)
– Apache Software Foundation Apache IoTDB v0.13.3 (CVE-2023-30771)
– Apache Software Foundation Apache OFBiz < v18.12.07 (CVE-2022-47501)
– Apache Sling Engine < v2.14.0 (CVE-2022-45064) RECOMANACIONS Aplicació les actualitzacions dels productes o tecnologies de què dispose: – Apache Superset >= v2.1
– Apache Software Foundation Apache IoTDB >= v0.13.4
– Apache Software Foundation Apache OFBiz >= v18.12.07
– Apache Sling Engine >= v2.14.0 (després de l’actualització, activar l’opció “Check Content-Type overrides” en la configuració)
Alternativament, pot aplicar els següents workarounds:
– En Apache Superset, bastarà amb canviar el valor de SECRET_KEY a una cadena generada de forma correctament aleatòria.
– Per a Apache IoTDB, Apache OFBiz i Apache Sling no s’ha publicat cap workaround, encara que en el cas de OFBiz
la vulnerabilitat no afecta a implementacions que no utilitzen el plugin Solr.
REFERÈNCIES
https://lists.apache.org/thread/08nc3dr6lshfppx0pzmz5vbggdnzpojb
https://nvd.nist.gov/vuln/detail/CVE-2022-47501
https://lists.apache.org/thread/k8s76l0whydy45bfm4b69vq0mf94p3wc
https://nvd.nist.gov/vuln/detail/CVE-2022-45064
https://lists.apache.org/thread/hhp611hltby3whk03vx2mv7cmy3vs0ok