sårbarhed

Der er fundet ny sårbarhed i Ivanti CSA (Cloud services appliance), som gør det muligt for angribere i at udføre ’Authentication bypass’.

Det skriver Bleeping Computer.

Sårbarheden har id’et CVE-2024-11639 og en CVSS-score på maksimale 10,0.

Mere end 100 Cisco-produkter er berørt af en NX-OS-sårbarhed, der gør det muligt for angribere at omgå "image signature verification".

Det skriver Security på baggrund af en meddelelse fra Cisco

Cisco annoncerede onsdag patches for en sårbarhed i NX-OS-softwarens bootloader, der kan gøre det muligt for angribere at omgå image signature verification. Image signature verification er en metode, der bruges til at verificere ægtheden af et digitalt billede ved hjælp af en unik digital signatur, der knyttes til billedet.

Researchere hos Varonis har konstateret en sårbarhed i Postgres sprogudvidelse PL/Perl. Sårbarheden giver mulighed for at sende vilkårlige "environment"-variabler til PostgreSQL sessionsprocesser. Sårbarheden har id’et CVE-2024-10797 og en CVSS-score på 8,8. 

De sårbare produkter er versioner af PostgreSQL før 17.1, 16.5, 15.9, 14.14, 13.17 og 12.21.

Palo Alto Networks er gjort opmærksom på en ”remote code execution”-sårbarhed gennem PAN-OS administrationsgrænsefladen.

Det fortæller Palo Alto Networks selv i en "Important Informational Bulletin".

Detaljerne er endnu ukendte. Palo Alto Networks overvåger aktivt for tegn på udnyttelse, og det hævdes, at sårbarheden eksisterer i administrationsgrænsefladen og skulle omhandle manglende inputvalidering.

ServiceNow har rettet to sårbarheder, som kan gøre det muligt for ondsindede aktører at få uautoriseret fjernadgang, adgang til følsomme data og kompromittere platformens integritet.

Det skriver SecurityOnline.info

Apple har udgivet en patch til Vision Pro, efter at researchere har påvist, hvordan en angriber kan aflure adgangskoder ved at holde øje med øjnenes tastaturtryk.

Det skriver Security Week i en artikel, der levner én med det indtryk, at der snart ikke er noget, der ikke er hemmeligt længere. Ikke en gang ens øjenbevægelser.

Ja, kuriøst er det, men det er faktisk tilfældet med denne nyligt påviste sårbarhed i headset’et fra Apple – Apple Vision Pro.

Apache Foundation har adresseret en kritisk sårbarhed ved offentliggørelse af kildekode i HTTP-serveren.

Det skriver Security Affairs.

Rettelsen indgår i en håndtering af sårbarheder i Apache HTTP-serveren. Sårbarhederne omfatter denial-of-service (DoS), fjernafvikling af kode og uautoriseret adgang.

En af disse sårbarheder er en kritisk kildekodesårbarhed med id’et CVE-2024-39884.

Qualys Threat Research Unit har opdaget en remote code execution-sårbarhed ((RCE) i OpenSSHs server (sshd) i glibc-baserede Linux-systemer.

Dette fremgår af en blogpost fra Qualys.

Sårbarheden betegnes som kritisk og har fået id’et CVE-2024-6387.

Sårbarheden er en ”signal race condition” i OpenSSHs server (sshd), der gør det muligt for en uautoriseret angriber at fjernafvikle kode som ”root” på glibc-baserede Linux-systemer. Denne race-tilstand påvirker sshd i dens standardkonfiguration.

Fortra FileCatalyst Workflow er konstateret sårbart over for en SQL injection-sårbarhed, der kan gøre det muligt for eksterne, uautoriserede angribere at oprette administratorbrugere og manipulere data på applikationsdatabasen.

Det skriver Bleeping Computer.

Sårbarheden blev opdaget midt i maj af reserachere hos Tenable, men er først blevet offentliggjort i denne uge ifm. udgivelse af en rettelse. I denne omgang er udnyttelsen også blevet offentliggjort, hvorfor man må forvente angrebsforsøg i den kommende tid.

Apple har udgivet en firmwareopdatering, der adresserer en AirPods Bluetooth-sårbarhed.

Det skriver The Hacker News.

Sårbarheden har id’et CVE-2024-27867, og den gør det muligt for en angriber at få uautoriseret adgang til høretelefonerne. Den påvirker godkendelsesproblemet AirPods (2. generation og nyere), AirPods Pro (alle modeller), AirPods Max, Powerbeats Pro og Beats Fit Pro.