sårbarheder

Asterisk lukker tre sikkerhedshuller

Asterisk 13, 14 og Certified Asterisk 13.13 er sårbare.

En angriber kan udnytte den ene sårbarhed ved at sende en særligt udformet SCCP-pakke til IP-telefonisystemet.

De to andre sårbarheder ligger i PJSIP. Det er et open source-bibliotek, der implementerer SIP (Session Initiation Protocol). Udviklerne gør opmærksom på, at også andre applikationer, der anvender PJSIP, kan være sårbare.

Fejlene er rettet i version 13.15.1, 14.4.1 og 13.13-cert4.

Anbefaling

Opdater til en rettet version.

Dansk

Asus lukker huller i RT-routere

De alvorligste sårbarheder er af typen cross-site request forgery (CSRF). Hvis en angriber kan narre offeret til at besøge en webside, der er udformet på en bestemt måde, kan sårbarheden udnyttes.

Fejlene er rettet i firmwareversion 3.0.0.4.380.7378 eller højere.

En lang række routere i RT-serien er berørt.

Endvidere er routeren 4G-AC55U også sårbar, men den er der ikke udsendt rettet firmware til.

Anbefaling

Opdater til den nyeste firmware.

Dansk

Vanilla Forums lukker alvorligt hul

Sårbarheden i PHPMailer har været kendt i flere måneder. Den version, der er inkluderet i Vanilla, er opdateret med Vanilla version 3.2.1.

En mindre alvorlig sårbarhed ligger i behandlingen af HTTP_HOST-headeren. Hullet er ikke lukket, i stedet har udviklerne fjernet brugen af headeren. De advarer om, at det kan give problemer.

Udviklerne arbejder på en løsning, der lukker hullet rigtigt.

Cloud-versionen af Vanilla er ikke berørt, kun open source-udgaven.

Anbefaling

Opdater til version 2.3.1.

Dansk

Fejl i Chrome giver mulighed for at stjæle passwords

Sårbarheden ligger i Chromes behandling af filer af typen SCF (Shell Command File). Hvis angriberen kan narre offeret til at klikke på et link til en SCF-fil, gemmes den i mappen Downloads.

Når brugeren åbner mappen, forsøger Windows at hente et ikon til filen. I filen står der angivet en netværksadresse på ikonet. Windows forbinder sig til adressen og oplyser brugernavn og hashværdi af passwordet.

Dansk

WordPress lukker seks huller

To af sårbarhederne handler om fejl i behandlingen af metadata i XML-RPC API'et. To er cross-site scripting-sårbarheder, en er en cross-site request forgery-sårbarhed (CSRF). Den sidste sårbarhed ligger i HTTP-klassen og handler om omdirigering.

Fejlene er rettet i WordPress 4.7.5.

Firmaet oplyser ikke, hvor alvorlige sårbarhederne er.

Anbefaling

Opdater til WordPress 4.7.5.

Links

Dansk

Apple opdaterer syv produkter

Den nye version af styresystemet til iPhone, iPad og iPod, iOS 10.3.2, lukker 41 sikkerhedshuller.

Styresystemet til Macintosh-computere, macOS, er opdateret til macOS Sierra 10.12.5. Samtidig har Apple udsendt, Security Update 2017-002 El Capitan, and Security Update 2017-002 Yosemite, der lukker sikkerhedshuller i de to tidligere versioner. I alt lukker rettelserne til macOS 37 sikkerhedshuller.

Styresystemet til Apple Watch er opdateret til watchOS 3.2.2, der lukker 12 sikkerhedshuller.

Dansk

22 gamle WordPress-udvidelser er sårbare

Sikkerhedsforskere fra firmaet Wordfence har undersøgt sikkerheden af plugins til WordPress. Knap halvdelen af alle plugins på WordPress.org har ikke været opdateret de sidste to år.

18 af dem ser ud til at have sårbarheder, som ikke er blevet rettet.

Endvidere er der fire, som godt nok er blevet rettet, men hvor det er sket på en måde, så installerede plugins ikke bliver opdateret automatisk.

Sårbarhederne har været offentligt kendt i to-tre år.

Anbefaling

Afinstaller eller opdater forældede plugins.

Dansk

Cisco lukker alvorligt hul i IOS og IOS XE

Sårbarheden blev kendt, da en stribe angrebsværktøjer fra CIA blev lækket tidligere på året. Dengang offentliggjorde Cisco en liste over berørte produkter.

Nu er listen opdateret med sikkerhedsrettelser, der lukker hullet.

318 produkter er ramt, heriblandt en lang række Catalyst-switche.

Sårbarheden ligger i behandlingen af Cisco Cluster Management Protocol (CMP).

Anbefaling

Opdater IOS eller IOS XE.

Dansk

Veritas lukker alvorlige huller i NetBackup

Sårbarhederne giver eksterne angribere mulighed for at afvikle kommandoer på NetBackup-serveren.

To sikkerhedsforskere fra Google opdagede sårbarhederne. De understreger, at de har foretaget en black box-test og altså ikke har haft adgang til kildekoden. Derfor er det sandsynligt, at der er flere sårbarheder i produktet.

De skriver, at NetBackups arkitektur har flere sikkerhedsproblemer. Fx er der ingen kryptering eller autentifikation af kommunikationen mellem klienter og servere.

Dansk

Sider

Abonnér på RSS - sårbarheder