Patch af sårbarheder

Følgende sårbarheder bliver håndteret i de nyelige frigivne patches:

CVE-2023-22522 (CVE - CVE-2023-22522 (mitre.org)): Input injektionsfejl, som tillader godkendte brugere, inklusive dem med anonym adgang, at injicere usikkert input på et Confluence Data Center system (CVSSv3: 9.0). Fejlen påvirker alle Confluence Data Center- og Server-versioner efter 4.0.0 og op til 8.5.3.

Sårbarheden har en CVSSv3 score på 9.8, så den skulle være forholdsvis let at udnytte.

En såkaldt "stack overflow" sårbarhed i FortiOS & FortiProxy åbner op for, at en angriber fra "remote" kan udføre kode eller kommandoer via specielt udformede forespørgelser, som kan foretage uautoriserede ændringer på proxy- eller firewall-regler.

ChromeOS er et Linux-baseret operativsystem, som er udviklet og designet af Google.

Afhængigt af de privilegier, der er knyttet til brugeren, kan en angriber installere programmer, se, ændre og slette data eller oprette nye konti med administrative rettigheder.

De berørte systemer er ChromeOS versioner før 15393.48.0 (Platform version: 113.0.5672.114).

Det anbefales at følge Googles anvisninger til opdatering af ChromeOS, læs mere her.

Sårbarhederne er konstateret i:

• Mozilla Firefox før 102.11
• Mozilla Firefox ESR før 113

Hvis den mest alvorlige sårbarhed udnyttes, er det muligt at eksekvere kode gennem browseren, naturligvis afhængig af brugerettighederne som er tildelt på enheden, hvorpå Firefox er installeret. Eksekvering af kode kan bl.a. medføre installation af ondsindede programmer eller oprette nye konti med administrative rettigheder.

Fortinet har udsendt patches til håndtering af 40 fejl, der påvirker flere produkter i Fortinets softwareprogram.

Det skriver The Hacker News og en række andre medier på baggrund af en sikkerhedsadvisory fra Fortinets PSIRT.

I alt afhjælpes 40 sårbarheder, hvoraf to er vurderet som kritiske. Den mest alvorlige (CVE-2022-39952) har en score på 9,8 og findes i Fortinets løsning til kontrol af netværksadgang (FortiNAC). Den kan ved udnyttelse medføre afvikling af vilkårlig kode.

Sikkerhedsfejlen er registreret som CVE-2022-28199 og har en CVSS-score på 8,6. Sårbarheden skyldes fejl i fejlhåndteringen i tredjepartsproduktet Data Plane Development Kit' (DPDK) netværksstak, hvilket gør det muligt for en "remote user" at udløse en denial-of-service (DoS) tilstand.

Cisco oplyser, at de har undersøgt produktsortimentet og fastslår, at følgende produkter er påvirket af fejlen:

Oracle har siden udgivelsen af ​​de patch opdatering fra april 2022 udgivet en "alert" til Oracle E-Business Suite CVE-2022-21500 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21500).

Brugere af Oracle E-Business Suite rådes kraftigt til at plægge de kritiske patches for juli, som desuden også inkluderer patches til andre af deres systemer.

Der er bl.a. identificeret et sikkerhedssårbarhed i en nginx-resolver (web-server), som gør det muligt med forfalske UDP-pakker fra en DNS-server, at foretage 1-byte-hukommelsesoverskrivning, hvilket vil resulterer i nedbrud i arbejdsprocessen eller potentiel anden påvirkning.

Microsoft har for nyligt identificeret en sårbarhed, der påvirker Azure Data Factory og Azure Synapse Pipelines. Sårbarheden blev fundet i en tredjeparts ODBC-dataforbindelsen, som blev brugt til at oprette forbindelse til Amazon Redshift, i relation til Integration Runtime (IR) i Azure Synapse Pipelines og Azure Data Factory. Sårbarheden kan gøre det muligt for en angriber at udføre fjernkommandoer på tværs af Integration Runtimes.

Drupals API har en sårbarhed, hvor visse tilpassede moduler kan være sårbare over for forkert inputvalidering. Dette kan give en hacker mulighed for at injicere ikke-tilladte værdier eller overskrive data. I visse tilfælde kan en angriber ændre kritiske eller følsomme data.