Bu makale, Apache projelerine odaklanarak açık kaynaklı yazılımlarda keşfedilen son güvenlik açıklarını ele almaktadır. Apache Answer'daki CVE-2024-29217 ve Apache Airflow FTP Provider'daki CVE-2024-29733 olmak üzere iki belirli güvenlik açığı ayrıntılı olarak analiz edilmiştir. Ek olarak, açık kaynaklı yazılımlardaki diğer önemli güvenlik açıklarından kısaca bahsedilmiştir.
CVE-2024-29217: Apache Answer XSS Güvenlik Açığı
CVE-2024-29217, Apache Answer 1.3.0 sürümünden önce bulunan bir XSS (Cross-site Scripting) güvenlik açığıdır. Kişisel web sitesi özelliğini etkileyen bu güvenlik açığı, oturum açmış bir kullanıcının kişisel web sitesini değiştirirken kötü amaçlı kod girmesine olanak tanır. Bu, saldırganın diğer kullanıcılar tarafından görüntülenen web sayfalarına istemci tarafı betikleri enjekte edebileceği bir XSS saldırısına yol açabilir.
Etki ve Öneriler
Bu güvenlik açığı sorunlu olarak sınıflandırılmıştır ve 1.3.0'dan önceki Apache Answer sürümlerini etkiler. Kullanıcılara sorunu çözen 1.3.0 sürümüne yükseltmeleri önerilir. Güvenlik açığı uzaktan kullanılabilir ve riski azaltmanın en iyi yolu en son sürüme yükseltme yapmaktır.
CVE-2024-29733: Apache Airflow FTP Sağlayıcısı Uygunsuz Sertifika Doğrulaması
CVE-2024-29733, Apache Airflow'un FTP Sağlayıcısında Uygunsuz Sertifika Doğrulaması güvenlik açığıdır. FTP kancası, FTP_TLS bağlantılarında tam sertifika doğrulamasından yoksundur ve bu da bir saldırganın bu zayıflıktan faydalanmasına olanak tanır. FTP_TLS örneklemesi sırasında context=ssl.create_default_context() geçirerek uygun sertifika doğrulamasını uygulamak, sertifikaları uygun şekilde doğrulamak için bir azaltma olarak kullanılır.
Etki ve Öneriler
Bu güvenlik açığı Apache Airflow FTP Provider'ın 3.7.0'dan önceki sürümlerini etkiler. Kullanıcılara sorunu çözen 3.7.0 sürümüne yükseltmeleri önerilir. Uygun sertifika doğrulaması güvenli iletişim için önemlidir ve olası saldırıları önlemek için uygulanmalıdır.
Diğer Önemli Güvenlik Açıkları
Son zamanlarda açık kaynaklı yazılımlarda birkaç önemli güvenlik açığı daha keşfedildi, bunlar arasında şunlar yer alıyor:
Apache Commons Yapılandırması: 2.10.1'den önceki sürümleri etkileyen sınır dışı yazma güvenlik açıkları (CONFIGURATION-840 ve CONFIGURATION-841). Kullanıcıların sorunları düzelten 2.10.1 sürümüne yükseltmeleri önerilir.
Jenkins: Jenkins 2.444 ve Jenkins LTS 2.440.2'deki güvenlik açıkları. Kullanıcıların bu sorunları gidermek için en son sürümlere yükseltmeleri önerilir.
GNU Emacs 29.3: Son sürümde güvenlik sorunları giderildi. Emacs ve org-mode sorunları için CVE'ler atandı.
Apache gibi açık kaynaklı yazılım projeleri, güvenlik açıklarını gidermek için sürekli olarak güncellenir. Sistemlerinizin ve uygulamalarınızın güvenliğini sağlamak için güncellemeleri düzenli olarak kontrol etmek ve uygulamak çok önemlidir. Bu makale, son güvenlik açıkları hakkında bilgi sahibi olmanın ve riskleri azaltmak için uygun eylemlerde bulunmanın önemini vurgulamaktadır.