Apache 软件基金会(ASF)已发布安全更新,修复了 Traffic Control 中的一个关键安全漏洞。若此漏洞被成功利用,攻击者便能在数据库中执行任意结构化查询语言(SQL)命令。该 SQL 注入漏洞被标识为 CVE-2024-45387,在 CVSS 评分系统中获得了 9.9 分(满分为 10 分)。
项目维护人员在公告里指出:“Apache Traffic Control 在 8.0.0 版本至 8.0.1 版本(包含这两个版本)的 Traffic Ops 中存在一个 SQL 注入漏洞,拥有‘admin’、‘federation’、‘operations’、‘portal’或者‘steering’角色的特权用户可通过发送特制的 PUT 请求来执行任意 SQL 语句。”
Apache Traffic Control 属于开源的内容分发网络(CDN)实现项目。2018 年 6 月,该项目被宣布为顶级项目(TLP)。
与此同时,ASF 还解决了 Apache HugeGraph - Server 在 1.0 版本到 1.3 版本中存在的身份验证绕过漏洞(CVE - 2024 - 43441),其修复补丁已在 1.5.0 版本发布。ASF 也发布了 Apache Tomcat 中的一个重要漏洞(CVE - 2024 - 56337)的补丁,此漏洞在某些条件下可能引发远程代码执行(RCE),建议用户将软件实例更新至最新版本,以抵御潜在威胁。
SQL 注入攻击是一种常见的网络攻击手段,攻击者通过在输入字段中插入恶意 SQL 代码,试图欺骗应用程序以执行不安全的数据库操作。
检测 SQL 注入攻击的方法
输入检查:对用户输入进行充分的验证和转义,防止恶意的 SQL 代码被执行。
日志分析:分析应用程序的访问日志,检测异常的 URL、异常的用户行为等。
数据库监控:监视数据库的活动,检测异常的查询和操作。
漏洞扫描:使用漏洞扫描工具检测应用程序中的安全漏洞,包括 SQL 注入漏洞。
Web 应用程序防火墙:监控应用程序的流量,检测和阻止 SQL 注入攻击。
防御 SQL 注入攻击的措施
使用预编译语句和参数化查询:这是防止 SQL 注入的最有效方法之一,通过使用占位符而不是直接拼接字符串来构建 SQL 命令。
输入验证:检查用户输入的合法性,确信输入的内容只包含合法的数据。
错误消息处理:避免出现详细的错误消息,因为黑客们可以利用这些消息。
最小权限原则:为数据库账号分配最小必要的权限,即使存在注入漏洞,攻击者也无法执行高风险操作。
参考来源:https://thehackernews.com/2024/12/critical-sql-injection-vulnerability-in.html
