Apache軟件基金會（ASF）已發布安全更新，修復了Traffic Control中的一個關鍵安全漏洞。若此漏洞被成功利用，攻擊者便能在數據庫中執行任意結構化查詢語言（SQL）命令。該SQL注入漏洞被標識為CVE-2024-45387，在CVSS評分系統中獲得了9.9分（滿分為10分）。

項目維護人員在公告里指出：“Apache Traffic Control在8.0.0版本至8.0.1版本（包含這兩個版本）的Traffic Ops中存在一個SQL注入漏洞，擁有‘admin’、‘federation’、‘operations’、‘portal’或者‘steering’角色的特權用戶可通過發送特制的PUT請求來執行任意SQL語句。”

Apache Traffic Control屬于開源的內容分發網絡（CDN）實現項目。2018年6月，該項目被宣布為頂級項目（TLP）。

與此同時，ASF還解決了Apache HugeGraph - Server在1.0版本到1.3版本中存在的身份驗證繞過漏洞（CVE - 2024 - 43441），其修復補丁已在1.5.0版本發布。ASF也發布了Apache Tomcat中的一個重要漏洞（CVE - 2024 - 56337）的補丁，此漏洞在某些條件下可能引發遠程代碼執行（RCE），建議用戶將軟件實例更新至最新版本，以抵御潛在威脅。

SQL注入攻擊是一種常見的網絡攻擊手段，攻擊者通過在輸入字段中插入惡意SQL代碼，試圖欺騙應用程序以執行不安全的數據庫操作。

檢測SQL注入攻擊的方法

輸入檢查：對用戶輸入進行充分的驗證和轉義，防止惡意的SQL代碼被執行。

日志分析：分析應用程序的訪問日志，檢測異常的URL、異常的用戶行為等。

數據庫監控：監視數據庫的活動，檢測異常的查詢和操作。

漏洞掃描：使用漏洞掃描工具檢測應用程序中的安全漏洞，包括SQL注入漏洞。

Web應用程序防火墻：監控應用程序的流量，檢測和阻止SQL注入攻擊。

防御SQL注入攻擊的措施

使用預編譯語句和參數化查詢：這是防止SQL注入的最有效方法之一，通過使用占位符而不是直接拼接字符串來構建SQL命令。

輸入驗證：檢查用戶輸入的合法性，確信輸入的內容只包含合法的數據。

錯誤消息處理：避免出現詳細的錯誤消息，因為黑客們可以利用這些消息。

最小權限原則：為數據庫賬號分配最小必要的權限，即使存在注入漏洞，攻擊者也無法執行高風險操作。

參考來源：https://thehackernews.com/2024/12/critical-sql-injection-vulnerability-in.html