sårbarheder

Google har udsendt sikkerhedsopdateringer til Chrome-browseren, der retter den fem 0-dagssårbarhed i dag – som tilmed har været under udnyttelse siden starten af året. Det skriver Bleeping Computer og en række andre medier.

Sårbarheden har id’et CVE-2024-4671 og er af Google blevet tildelt en score på ”høj”.

Citrix har i al ubemærkethed rettet en sårbarhed i sine NetScaler Application Delivery Control (ADC) og Gateway-produkter, der gjorde det muligt for eksterne, uautentificerede angribere at få adgang til potentielt følsomme oplysninger fra hukommelsen på berørte systemer.

Det skriver Dark Readking.

Brugere af CrushFTP, som er en virksomhedsløsning til overførsel af filer, bliver opfordret til at opdatere til den nyeste version efter opdagelsen af en sikkerhedsfejl, der pt. er under målrettet udnyttelse in-the-wild.

Det skriver The Hacker News blandt andre.

Det drejer sig om CrushFTP v11-versioner under 11.1, der har en sårbarhed, hvor brugere kan undslippe deres VFS og downloade systemfiler. Sårbarheden er blevet rettet i version 11.1.0. Vejledning til opdateringen findes på CrushFTPs updateside.

Microsoft har tirsdag frigivet en stor bunke sikkerhedsrettelser, der adresserer mindst 150 sårbarheder.

Det skriver Security Week og en række andre medier, der særligt gør opmærksom på en sårbarhed med en CVSS-score på 9.

Der er fundet og afsløret en alvorlig sårbarhed i D-Link NAS-modeller, der har nået end-of-life.

Det skriver Security Affairs.

Sårbarheden har id’et CVE-2024-3273 og en CVSS-score på 7,3. Der er tale om en ”command injection” og hardkodet bagdørssårbarhed, der ligger i nas_sharing.cgi uri. En angriber kan udnytte fejlen til at opnå mulighed for afvikling af kommandor på de berørte D-Link NAS-enheder, få adgang til potentielt følsomme oplysninger, udføre systemkonfigurationsændringer eller DoS-angreb.

Ivanti, der producerer it-sikkerhedssoftware, har udsendt patches, der adresserer flere sårbarheder i Connect Secure og Policy Secure-gateways.

Det skriver Bleeping Computer.

Den mest kritiske sårbarhed, CVE-2024-21894 (CVSS 8,2) kan udnyttes af uautentificerede angribere til at få mulighed for "remote code execution" og etablering af denial-of-service. Udnyttelse kan opstå i angreb, der ikke kræver brugerinteraktion.

Der er fundet en kritisk fejl i et datakomprimeringsværktøj, XZ, der bruges på praktisk taget alle Linux-platforme. Sårbarheden kan potentielt udnyttes til remote code execution med de rettigheder, som distributionen er installeret under.

Det skriver bl.a. Help Net Security.

For at illustrere angrebsvektoren kan man forestille dig to DNS-resolvere med en sådanne reaktionsmønstre, hvis der er fejl i det generede input.

Hvis input er fejlbehæftet, vil det skabe en anden fejl som output på forespørgslen mellem de to systemer. Derefter vil de to systemer stå og udveksle fejlmeddelelser i en uendelighed - på ubestemt tid. Dermed er der etableret et "fejl loop" mellem to endheder. Når en af enhederne først er injiceret med disse fejl, vil de sårbare servere konstant sende DNS-fejlmeddelelser frem og tilbage, hvilket vil munde ud i en D(D)oS tilstand.

Researchere har offentliggjort en proof-of-concept (PoC) udnyttelse til en kritisk sårbarhed i Fortinets FortiClient Enterprise Management Server (EMS) software.

Det skriver Bleeping Computer.

Atlassian har patchet en kritisk 10/10-sårbarhed i sit Bamboo Data Center and Server. Dette fremgår af en sikkerhedsbulletin, der er offentliggjort den 19. marts. Ud over den kritiske sårbarhed omfatter bulletinen også orientering om 24 alvorlige sårbarheder, som er blevet rettet i de nye versioner af Atlassians-produkterne Confluence Data Center and Server og Jira Software Data Center and Server.