Apache軟件基金會(huì)（ASF）已發(fā)布安全更新，修復(fù)了Traffic Control中的一個(gè)關(guān)鍵安全漏洞。若此漏洞被成功利用，攻擊者便能在數(shù)據(jù)庫(kù)中執(zhí)行任意結(jié)構(gòu)化查詢語(yǔ)言（SQL）命令。該SQL注入漏洞被標(biāo)識(shí)為CVE-2024-45387，在CVSS評(píng)分系統(tǒng)中獲得了9.9分（滿分為10分）。

項(xiàng)目維護(hù)人員在公告里指出：“Apache Traffic Control在8.0.0版本至8.0.1版本（包含這兩個(gè)版本）的Traffic Ops中存在一個(gè)SQL注入漏洞，擁有‘a(chǎn)dmin’、‘federation’、‘operations’、‘portal’或者‘steering’角色的特權(quán)用戶可通過(guò)發(fā)送特制的PUT請(qǐng)求來(lái)執(zhí)行任意SQL語(yǔ)句?！?/p>

Apache Traffic Control屬于開(kāi)源的內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）實(shí)現(xiàn)項(xiàng)目。2018年6月，該項(xiàng)目被宣布為頂級(jí)項(xiàng)目（TLP）。

與此同時(shí)，ASF還解決了Apache HugeGraph - Server在1.0版本到1.3版本中存在的身份驗(yàn)證繞過(guò)漏洞（CVE - 2024 - 43441），其修復(fù)補(bǔ)丁已在1.5.0版本發(fā)布。ASF也發(fā)布了Apache Tomcat中的一個(gè)重要漏洞（CVE - 2024 - 56337）的補(bǔ)丁，此漏洞在某些條件下可能引發(fā)遠(yuǎn)程代碼執(zhí)行（RCE），建議用戶將軟件實(shí)例更新至最新版本，以抵御潛在威脅。

SQL注入攻擊是一種常見(jiàn)的網(wǎng)絡(luò)攻擊手段，攻擊者通過(guò)在輸入字段中插入惡意SQL代碼，試圖欺騙應(yīng)用程序以執(zhí)行不安全的數(shù)據(jù)庫(kù)操作。

檢測(cè)SQL注入攻擊的方法

輸入檢查：對(duì)用戶輸入進(jìn)行充分的驗(yàn)證和轉(zhuǎn)義，防止惡意的SQL代碼被執(zhí)行。

日志分析：分析應(yīng)用程序的訪問(wèn)日志，檢測(cè)異常的URL、異常的用戶行為等。

數(shù)據(jù)庫(kù)監(jiān)控：監(jiān)視數(shù)據(jù)庫(kù)的活動(dòng)，檢測(cè)異常的查詢和操作。

漏洞掃描：使用漏洞掃描工具檢測(cè)應(yīng)用程序中的安全漏洞，包括SQL注入漏洞。

Web應(yīng)用程序防火墻：監(jiān)控應(yīng)用程序的流量，檢測(cè)和阻止SQL注入攻擊。

防御SQL注入攻擊的措施

使用預(yù)編譯語(yǔ)句和參數(shù)化查詢：這是防止SQL注入的最有效方法之一，通過(guò)使用占位符而不是直接拼接字符串來(lái)構(gòu)建SQL命令。

輸入驗(yàn)證：檢查用戶輸入的合法性，確信輸入的內(nèi)容只包含合法的數(shù)據(jù)。

錯(cuò)誤消息處理：避免出現(xiàn)詳細(xì)的錯(cuò)誤消息，因?yàn)楹诳蛡兛梢岳眠@些消息。

最小權(quán)限原則：為數(shù)據(jù)庫(kù)賬號(hào)分配最小必要的權(quán)限，即使存在注入漏洞，攻擊者也無(wú)法執(zhí)行高風(fēng)險(xiǎn)操作。

參考來(lái)源：https://thehackernews.com/2024/12/critical-sql-injection-vulnerability-in.html