sårbarheder

Ved at udnytte to sårbarheder i Apache CouchDB kan angribere få administratorprivilegier. Den ene sårbarhed giver også mulighed for at afvikle kommandoer.

CouchDB er en database, der ikke er en relationsdatabase. Den opbevarer data i form af nøgle-værdi-par.

Den ene sårbarhed skyldes, at databasens interne parser og en Javascript-baseret parser ikke behandler data på samme måde.

Fejlene er rettet i CouchDB version 2.1.1 og 1.7.0/1.7.1.

Anbefaling

Opdater til en rettet version.

Softwarehuset SAP har udsendt 32 opdateringer fordelt på 22 SAP Security Patch Day Notes og 10 Support Package Notes.

Tre af opdateringerne fjerner kritiske sårbarheder. De er alle opdateringer til tidligere udsendte rettelser.

Blandt de sårbare produkter Text Conversion, LaMa, LVM, SAP Management Console og NetWeaver Java Workflow.

Rettelserne blev udsendt den 14. november.

Anbefaling

Test og installer opdateringerne.

En CVSS-score (Common Vulnerability Scoring System) på 10 er den højeste risikovurdering af en sårbarhed. Den har en af de nyopdagede sårbarheder i Oracle Tuxedo fået.

En anden er vurderet til 9,9, mens de øvrige er på henholdsvis 7,5, 7 og 5,3.

Sårbarhederne findes i Jolt-serveren, der er indbygget i Tuxedo.

Peoplesoft er blandt de produkter, der bruger Tuxedo. Derfor kan en angriber udnytte sårbarhederne til at få fuld kontrol med et Peoplesoft-system.

November måneds sikkerhedsrettelser fra Adobe lukker 80 sikkerhedshuller i ni produkter: Flash Player, Photoshop CC, Adobe Connect, Acrobat og Reader, DNG Converter, InDesign CC, Digital Editions, Shockwave Player og Adobe Experience Manager.

56 sårbarheder findes i Acrobat og Reader til Windows og Macintosh. Flere af dem er kritiske. Fejlene er rettet i versionerne 2018.009.20044, 2017.011.30068, 2015.006.30392 og 11.0.23.

Der er fem kritiske sårbarheder i Flash Player. De er rettet med version 27.0.0.187.

Microsoft har fjernet 53 sårbarheder fra Internet Explorer, Edge, Windows, Office, ASP.NET, .NET og Chakra.

25 af sårbarhederne giver angribere mulighed for at afvikle skadelig programkode.

14 rettelser er til Windows. 20 sårbarheder har fået firmaets højeste risikovurdering. De findes alle i browserne Internet Explorer og/eller Edge.

Blandt rettelserne til Office-pakken er en, der lukker et hul, som har eksisteret i 17 år. Det findes i lignings-editoren.

Microsoft udsendte rettelserne i sidste uge.

Sikkerhedsfirmaet Appthority har opdaget, at 85 udviklerkonti på tjenesten Twilio har lagt deres brugernavn og password ind i de apps, de har udviklet. Dermed kan uvedkommende få adgang til de data, appen sender gennem Twilio.

Twilio er en cloud-tjeneste, der lader apps ringe, modtage opkald og udveksle SMS'er via forskellige telefoni-udbydere.

Appthority opdagede sårbarheden i april. De analyserede over 1.000 apps, hvoraf 685 havde sårbarheden. Både Android og iOS er berørt.

Joomla 3.8.2 fjerner tre sårbarheder fra CMS'et (Content Management System).

Udviklerne beskriver to af sårbarhederne som mellemalvorlige, mens den sidste får lav prioritet.

En af sårbarhederne ligger i behandlingen af LDAP (Lightweight Directory Access Protocol). Den gør det muligt at få fat i brugernavn og password.

Anbefaling

Opdater til Joomla 3.8.2.

Links

• Joomla 3.8.2 Release

Novembers sikkerhedsopdateringer til Android lukker 32 sikkerhedshuller, hvoraf de ni er kritiske.

Opdateringerne er opdelt i sårbarheder i Android generelt og sårbarheder, der findes i specifikke hardware-konfigurationer.

Der er rettelser til 20 sårbarheder i den generelle Android og 12 produktspecifikke sårbarheder. Seks af de kritiske sårbarheder findes i Android generelt, mens tre er knyttet til trådløse netværksfunktioner i chips fra Qualcomm.

Chrome til Windows, Macintosh og Linux er opdateret til version 62.0.3202.89. Den lukker to sikkerhedshuller, hvoraf det ene er kritisk.

Den alvorlige sårbarhed er et bufferoverløb i QUIC (Quick UDP Internet Connections). Sikkerhedsforsker Ned Williamson rapporterede det til Google den 24. oktober. Google har endnu ikke afgjort, hvor stor en dusør han får for opdagelsen.

Den anden sårbarhed har fået Googles næsthøjeste risikovurdering. Den ligger i V8.

Anbefaling

Genstart Chrome for at aktivere opdateringen.

En sårbarhed i Tor Browser gør, at browseren kan lække brugerens IP-adresse, som Tor ellers burde skjule. Det skyldes en fejl i den måde, Firefox håndterer file-links på.

Fejlen findes kun i macOS- og Linux-versionerne af Tor Browser, Windows-versionen er ikke berørt.

Udviklerne har udsendt version 7.0.9 til de to platformen, mens Windows-brugere kan fortsætte på 7.0.8.

Endvidere er der udsendt en rettet udgave til alpha-serien, Tor Browser 7.5a7.

Anbefaling

Opdater til en rettet version.