Vulnérabilités dans Apache Mina et DolphinScheduler
Date de publication :
CVE-2021-41973[Score CVSS v3.1: 7.5]
Une vulnérabilité située au niveau du décodeur de l’entête http a été identifiée dans le cadriciel Mina du serveur Apache. Un attaquant pourrait exploiter cette vulnérabilité, via une requête http malveillante, pour faire tourner en cycle infini le décodeur d’entête http. Cette vulnérabilité ne semble pas être exploitée pour le moment.
CVE-2021-27644[Score CVSS v3.1: 8.8]
L’expert en cybersécurité Jinchen Sheng du laboratoire Ant FG Security a publié l’existence d’une vulnérabilité du type « injection de commande SQL » sur la plateforme DolphinScheduler du serveur Apache. Un attaquant authentifié peut exploiter cette vulnérabilité pour mener des injections de commandes SQL malveillantes dans la base de données. Cette vulnérabilité ne semble pas être exploitée pour le moment.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Compromission du programme
- Injection de commande
Criticité
- Score CVSS v3.1: 8.8 max
CVE
Composants vulnérables.
Concernant la vulnérabilité CVE-2021-41973 :
- Les versions antérieures à Mina 2.1.5 sont vulnérables.
Concernant la vulnérabilité CVE-2021-27644 :
- Les versions antérieures d’Apache DolphinScheduler 1.3.6 sont vulnérables.
Solutions ou recommandations
Concernant la vulnérabilité CVE-2021-41973 :
- Effectuer la mise à jour MINA 2.1.5, celle-ci est disponible ici :
https://mina.apache.org/downloads-mina_2_1.html
Concernant la vulnérabilité CVE-2021-27644 :
- Effectuer la dernière mise à jour d’Apache DoplhineScheduler, celle-ci est disponible ici :https://dolphinscheduler.apache.org/en-us/download/download.html