Bu makale, açık kaynaklı yazılımlarda keşfedilen son güvenlik açıklarını ele alarak, özellikle Apache projelerine odaklanmaktadır. Detaylı olarak Apache Answer'daki CVE-2024-29217 ve Apache Airflow FTP Sağlayıcı'daki CVE-2024-29733 gibi iki belirli güvenlik açığı incelenmektedir. Ayrıca, diğer dikkate değer açık kaynaklı yazılımlardaki önemli güvenlik açıklarına kısaca değinilmektedir.
CVE-2024-29217: Apache Answer XSS Güvenlik Açığı
CVE-2024-29217, Apache Answer'ın 1.3.0 sürümünden önce bulunan bir XSS (Cross-site Scripting) güvenlik açığıdır. Bu güvenlik açığı, kişisel web sitesi özelliğini etkileyerek, oturum açmış bir kullanıcının kişisel web sitesini değiştirirken kötü amaçlı kod girmesine izin verir. Bu, bir XSS saldırısına yol açabilir, saldırganın diğer kullanıcılar tarafından görülen web sayfalarına istemci tarafı betikleri enjekte etmesine olanak tanır.
Etki ve Tavsiyeler
Bu güvenlik açığı, Apache Answer'ın 1.3.0 sürümünden önceki sürümlerini etkileyen bir problem olarak sınıflandırılmıştır. Kullanıcıların, sorunu düzelten 1.3.0 sürümüne yükseltmeleri önerilir. Güncelleme ile uzaktan kötüye kullanım riski azaltılabilir.
CVE-2024-29733: Apache Airflow FTP Sağlayıcı Doğru Sertifika Doğrulaması
CVE-2024-29733, Apache Airflow'un FTP Sağlayıcı'sında Bulunan Doğru Sertifika Doğrulaması güvenlik açığıdır. FTP kancası, FTP_TLS bağlantılarında tam sertifika doğrulamasının eksik olduğu için bir saldırganın bu zayıflığı sömürmesine olanak tanır. Sertifikaları doğru bir şekilde doğrulamak için FTP_TLS başlatma sırasında context=ssl.create_default_context() parametresini geçmek, sertifikaları düzgün bir şekilde doğrulamak için kullanılan bir önlem olarak önerilir.
Etki ve Tavsiyeler
Bu güvenlik açığı, Apache Airflow FTP Sağlayıcı'nın 3.7.0 sürümünden önceki sürümlerini etkiler. Kullanıcıların, sorunu düzelten 3.7.0 sürümüne yükseltmeleri önerilir. Güvenli iletişim için doğru sertifika doğrulaması önemlidir ve potansiyel saldırıları önlemek için uygulanmalıdır.
Diğer Dikkate Değer Güvenlik Açıkları
Açık kaynaklı yazılımlarda son zamanlarda keşfedilen birkaç dikkate değer güvenlik açığı şunlardır:
Apache Commons Configuration: 2.10.1 öncesi sürümleri etkileyen Out-of-bounds Write güvenlik açıkları (CONFIGURATION-840 ve CONFIGURATION-841). Kullanıcıların, sorunları düzelten 2.10.1 sürümüne yükseltmeleri önerilir.
Jenkins: Jenkins 2.444 ve Jenkins LTS 2.440.2'deki güvenlik açıkları. Kullanıcıların, bu sorunları gidermek için en son sürümlere yükseltmeleri tavsiye edilir.
GNU Emacs 29.3: En son sürümde düzeltilen güvenlik sorunları. Emacs ve org-mode sorunları için CVE'ler atanmıştır.
Apache gibi açık kaynaklı yazılım projeleri, güvenlik açıklarını ele almak için sürekli güncellenmektedir. Sistemlerinizin ve uygulamalarınızın güvenliğini sağlamak için düzenli olarak güncellemeleri kontrol etmek ve uygulamak son derece önemlidir. Bu makale, son güvenlik açıkları hakkında bilgi sahibi olmanın ve uygun önlemleri almanın önemini vurgulamaktadır.