sårbarheder

QNAP har frigivet rettelser til flere fejl, herunder alvorlige sårbarheder, der påvirker QTS og QuTS hero, QuMagie, Netatalk og Video Station. Det skriver The Hacker News.

Juniper har frigivet en sikkerhedspatch til håndtering af flere sårbarheder i Juniper Secure Analytics.

Google har i denne uge udgivet Chrome version 120, der adresserer ni sårbarheder.

Som sædvanlig med Google har den mest alvorlige fejl, som er indrapporteret af eksterne researchere, udløst en dusør. I denne omgang er den på 16.000 dollar for fundet af CVE-2023-6702, en type confusion-fejl i V8 JavaScript-motoren, med karakteren 'høj'. I alt har de indrapporterede fejl kostet Google 50.000 dollar i dusørudbetaling til rettelse af 'use-after-free'-sårbarheder i browserens Blink-, libavif-, WebRTC- og FedCM-komponenter og i CSS.

Apple har udsendt opdateringer, der adresserer to aktivt udnyttede 0-dagssårbarheder i iPhones og nogle Apple Watch- og Apple TV-modeller. Samtidig er der også rettet 0-dagssårbarheder i nyeste modeller.

Det skriver Bleeping Computer.

WordPress har udsendt version 6.4.2, der retter en remote code execution (RCE)-sårbarhed. Sårbarheden stammer fra filen /includes/backup-heart.php og kan udnyttes til at kontrollere de værdier, der sendes til denne include fil, og efterfølgende udnytte dette til remote code execution.  

Det skriver Security Week og Bleeping Computer.

The Shadowserver Foundation har observeret en stigning i antallet af enheder, der er hacket via sårbarheder i Cisco IOS XE. Det skriver Dark Reading og en række andre medier i dag på baggrund af et opslag fra nonprofit-organisationen Shadowserver Foundation.

Der er tale om to sårbarheder CVE-2023-20198 (CVSS-score på 10) og CVE-2023-20273 (CVSS-score på 7,2) i produkter, der blev rettet i oktober. Allerede dengang advarede Cisco om, at sårbarhederne var blevet udnyttet som 0-dagssårbarheder.

Zyxel har udsendt advarsler om kritiske sårbarheder i firewalls, access points og NAS-enheder. Konkret er der tale om mindst 15 fejl i forskellige produkter, som risikerer command injection, DoS-angreb og omgåelse af autentifikation. Det skriver Security Week.

Særligt udsatte skulle firewalls og access points være, og der advares om, at flere enheder kan udnyttes til at få adgang til konfigurationsfiler, følsomme cookies, påbegynde DoS-angreb og i øvrigt afvikle kommandoer.

Følgende fejl fremhæves som de værste (firewalls og access points:

Atlassian har meldt ud, at der er fundet en alvorlig sårbarhed, der påvirker Bamboo Data Center og Server version 8.1.0 til 9.3.0.

Det skriver Security Online Info.

Juniper har udgivet sikkerhedsrettelser, der adresserer sårbarheder i Juniper Secure Analytics. En fjendtlig aktør kan udnytte sårbarhederne til at opnå fuld kontrol over et sårbart system eller iværksætte DoS-tilstand. Der er fundet og rettet i alt ni sårbarheder, hvor den mest alvorlige er CVE-2023-35788, der har en CVSS-score på 7,8.

De berørte systemer er alle versioner op til 7.5.0 UP7 af Juniper Secure Analytics

Der er endnu ikke rapporteret aktiv udnyttelse.

Det anbefales at opdatere i henhold til Junipers anvisninger.

Der er fundet en ’authentication bypass’-sårbarhed i VMware Cloud Director Appliance. Sårbarheden gør det muligt for en angriber at omgå autentifikationen på berørte VMware VDC. Det kan ske ved i angreb med lav kompleksitet, der ikke kræver brugerinteraktion.

Dette fremgår af en advisory fra VMware, som bl.a. er refereret i Bleeping Computer.