sérülékenység

kami911 képe

A Terrapin támadás csökkentheti az OpenSSH kapcsolatok biztonságát

A Terrapin támadás képes csökkenteni az OpenSSH kapcsolatok biztonságát. Akadémiai kutatók egy új támadást fejlesztettek ki, melyet Terrapin néven publikáltak. A kapcsolat felépítésekor, a kézfogás során manipulálja a kódszámokat, hogy bizonyos széles körben használt titkosítási módok használata esetén feltörje az SSH-csatorna integritását.

kami911 képe

Ami megtörte a ZEN nyugalmát

Tavis Ormandy beszámolt az első nagy eredményükről az új CPU kutatási projektükkel kapcsolatban. Egy felszabadítás utáni használat (use-after-free) hibára bukkatak az AMD ZEN2 processzoraiban. Ez a kifejezés olyan programozási hiba típusra utal, amikor egy program egy már felszabadított memóriaterületre hivatkozik, ami súlyos biztonsági problémákat okozhat. Az AMD frissített mikrokódot adott ki az érintett ZEN2 alapú rendszerekhez a Zenbleed-nek nevezett sebezhetőséghez.

kami911 képe

2 millió szivárgó ügyféladat a Toyotánál

Volt már szó az autógyárakat érintő szivárgó adatokról, A Toyota Motor Corporation nyilvánosságra hozta a több felhőkörnyezetében történt adatvédelmi incidenst is, amely tíz éven keresztül, 2013. november 6. és 2023. április 17. között 2 150 000 ügyfél autóhelyadatait tette hozzáférhetővé.

LinuxMintHungary képe

Sérülékenységet találtak a KeePass jelszókezelőben

A KeePass egy igen népszerű nyílt forráskódú jelszókezelő program, ami helyi telepítésű, azaz a titkosított jelszó adatbázist nem a felhőben, hanem a felhasználó eszközén tárolja. A szoftver elsősorban Windows-os számítógépek számára készült, azonban létezik MacOS-re és Linuxra, valamint okostelefonokra portolt változata is. (Egy segédletben bővebben is megismerheti, hogy a jelszókezelőknek milyen típusai vannak.)

kami911 képe

Brutális biztonsági problémák (nem csak) a nagy autómárkák rendszereiben

Bár az autógyártók évtizedek óta hajtanak és rengeteget áldoznak technikai, anyagi, és figyelemfelhívási tekintetében az autójaik biztonságos megítélésére, és többek között jobbnál-jobb Euro NCAP teszteredményekkel és építenek arra reklámokat és biztonsági kampányokat. Úgy tűnik azonban szoftverbiztonsági töréstesztekre jóval kevesebb figyelmet és erőforrást szentelnek. Ennek megfelelően az eredmények is kiábrándítóak.

kami911 képe

Két magas besorolású hiba miatt érdemes frissíteni az OpenSSL-t

A kritikus hiba végül inkább csak magas besorolásúvá szelídült, de így is mindenki, aki OpenSSL-t 3.0.0-3.0.6 közötti verziókat használ valamilyen formában, frissítse az OpenSSL szoftverkönyvtárat a 2022. november elsejétől elérhető verziókra – így két CVE javítását is megkapja.

Az OpenSSL projekt a hibákról így ír:

kami911 képe

Elsején vigyázó tekinteteiteket az OpenSSL-re vessétek

Az OpenSSL projekt csapata szeretné előre bejelenteni az OpenSSL 3.0.7-es verzióját. Az OpenSSL 3.0.7 egy biztonsági hibajavító kiadás, amely a legmagasabb, kritikus (CRITICAL) súlyosságú probléma át orvosol majd.

kami911 képe

Így javítsd meg a Spectre, Meltdown és az Intel Management Engine hibákat a gépeden

(Frissítve) A Spectre nevű sérülékenység két hibája többé-kevésbé minden modern processzort, a Meltdown pedig az Intel elmúlt 10 évben megjelent valamennyi processzoraát és néhány erősebb ARM processzort érint – lehetővé téve adatszivárgást. Az Intel Management Engine sebezhetőségei pedig távoltól teszik elérhetővé a gépet. Mindegyik hibára született már hibajavítás, ezek telepítése elengedhetetlen lesz a jövőben a számítógépek biztonságos üzemeletetéséhez. Az első javítások még januárban jelentek meg, de az Intel mikrokód frissítés és a Windows frissítés is olyan hibákat okozott, mely után a gyártók újabb javításokat adtak ki.

kami911 képe

Veszélyezteti az ellátási láncokat a TeamCity sebezhetőség

A hackerek elkezdték kihasználni a TeamCity On-Premises kritikus súlyosságú hitelesítés megkerülési sebezhetőségét. A kihasználás tömeges, több száz új felhasználó jött létre a nyilvános weben elérhető, javítatlan TeamCity példányokon.

A CVE-2024-27198 kritikus sebezhetőség súlyossági pontszáma 9.8, és a TeamCity minden verzióját érinti a 2023.11.4 kiadásig.

kami911 képe

45 ezer nyilvános Jenkins szerver van kitéve RCE támadásoknak

A kutatók nagyjából 45000 olyan online Jenkins példányt találtak, amelyek sebezhetőek egy kritikus távoli kódfuttatási (RCE) hibával (CVE-2024-23897) szemben, amelyre több nyilvános proof-of-concept (PoC) exploitot publikáltak.

kami911 képe

Kritikus GitLab sérülékenység, ami lehetővé teszi a fájlok felülírását

A GitLab ismét javításokat adott ki a Community Edition (CE) és Enterprise Edition (EE) kritikus biztonsági hibájának kezelésére, amely a munkaterület létrehozása során kihasználható tetszőleges fájlok írására.

kami911 képe

Négy súlyos hibát azonosítottak a GNU C könyvtárban, azaz a glibc-ben

Biztonsági rés: Az Intel javításokat terjeszt az érintett processzorokhoz

Manapság nem csak az AMD-nek kell biztonsági szivárgást betömnie. Az Intelnél is biztonsági rést fedeztek fel, amely lehetővé teszi a helyi felhasználók számára a jogosultságok kiterjesztését, információk közzétételét vagy szolgáltatásmegtagadást. A fiatalabb generációs processzorok már kaptak mikrokódos javítást.

kami911 képe

Biztonsági javítás telepítését kéri a VLC

A VideoLAN projekt kiadta a VLC 3.0.20 verzióját, mint az utolsó VLC 3.0 sorozat legfrissebb frissítését. Ez a népszerű, ingyenes, nyílt forrású és platformfüggetlen médialejátszó szoftver elérhető GNU/Linux, Android, iOS, macOS, tvOS és Windows rendszerekre.

kami911 képe

A Cisco eszközei frissítését kéri

A támadók kihasználnak egy nemrégiben nyilvánosságra hozott súlyos zero-day hibát, amellyel céljuk, hogy rosszindulatú kódok beinjektálásával megfertőzzék és kompromittálják azokat. Biztonsági kutatók, több mint 34 000 publikusan is elérhető Cisco IOS XE eszközt azonosítottak.

Oldalak

Feliratkozás RSS - sérülékenység csatornájára