sérülékenység

kami911 képe

A Zyxel egy kritikus OS command injection sérülékenységre figyelmeztet

Beküldte kami911 -

A Zyxel biztonsági frissítéseket adott ki a vállalati routereinek több modelljét érintő olyan kritikus sérülékenység javítására, amely OS command injection végrehajtását teszi lehetővé a támadók számára.

Megjegyzés: Az OS command injection (más néven shell injection) egy olyan webes biztonsági sebezhetőség, amely lehetővé teszi a támadó számára, hogy tetszőleges operációs rendszer parancsokat hajtson végre az alkalmazást futtató szerveren és teljesen kompromittálja az alkalmazást és annak összes adatát.

kami911 képe

A Cisco javított egy magas súlyosságú hibát az NX-OS szoftverében

Beküldte kami911 -

A szoftver több biztonsági réssel is rendelkezett, ideértve a DHCPv6 relay agent-ben lévő magas súlyosságú hibát is. A Cisco által kiadott frissítés ezeket javítja.

A javításra került hibák közül a legsúlyosabb a c, amelynek kihasználásával a támadó denial-of-service (DoS) állapotot tud előidézni.

kami911 képe

A GiveWP WordPress Plugin sebezhetősége több mint 100 000 webhelyet veszélyeztet

Beküldte kami911 -

Maximális súlyosságú biztonsági hiba került nyilvánosságra a WordPress GiveWP adománygyűjtési pluginjában, amely által több mint 100 000 weboldal van kitéve RCE (távoli kódfuttatási) támadásoknak.

kami911 képe

A kiberbűnözők Jenkins sérülékenységet használnak ki zsarolóvírus-támadásokban

Beküldte kami911 -

A CISA egy aktívan kihasznált, kritikus Jenkins sérülékenységre figyelmeztet, amely távoli kódfuttatási elérést (RCE) tesz lehetővé a támadók számára. A Jenkins egy széles körben elterjedt nyílt forráskódú automatizálási eszköz, amely segíti a fejlesztőket a szoftverek fejlesztésének és tesztelésének automatizálásában.

kami911 képe

Kritikus Windows TCP/IP sérülékenység: távoli kódfuttatás lehetősége

Beküldte kami911 -

A Microsoft által 2024 augusztusában kiadott CVE-2024-38063 azonosítójú sérülékenység lehetőséget biztosít távoli kódfuttatásra, amely kritikus fenyegetést jelenthet az IPv6 konfigurációt használó rendszerekre nézve.

kami911 képe

A Google javította az Android kernel nulladik napi sebezhetőségét

Beküldte kami911 -

Az Android augusztusi biztonsági frissítései 46 sebezhetőséget javítanak, köztük egy nagy súlyosságú távoli kódfuttatási (RCE – Remote Code Execution) hibát, melyet a támadók célzott támadások során használnak ki. A CVE-2024-36971 néven nyomon követett sérülékenység egy use-after-free (UAF) gyengeség a Linux kernel hálózati útvonalkezelésben.

Újabb döfések a Secure Boot funkciónak

Beküldte T.István -

A héten a Binarly biztonságtechnikai cég felfedezte, hogy 2022 óta kb. 2023 januárjáig elérhető volt a Githubon egy még 2022-ben feltört kriptográfiai kulcspár, aminek a titkosított része ugyan jelszóval volt védve, de az csak 4 karakter hosszú volt. Az még nem világos, hogy mikor törölték, de a jelzett időtartamban elérhető volt. Az is kiderült, hogy 5 nagy gyártó több mint 200 modellje érintett ebben, mivel az UEFI-jük tartalmazza ezeket a kulcsokat, annak ellenére, hogy ezeket “DO NOT SHIP” vagy “DO NOT TRUST” jelzésekkel látták el.

kami911 képe

Az új típusú Blast-RADIUS támadás megkerüli a hitelesítést

Beküldte kami911 -

A Blast-RADIUS, a széles körben használt RADIUS/UDP hálózati protokoll megkerülésével lehetővé teszi a támadóknak, hogy hálózatokat törjenek fel man-in-the-middle (közbeékelődéses) MD5 hash támadással.

kami911 képe

Veszélyezteti az ellátási láncokat a TeamCity sebezhetőség

Beküldte kami911 -

A hackerek elkezdték kihasználni a TeamCity On-Premises kritikus súlyosságú hitelesítés megkerülési sebezhetőségét. A kihasználás tömeges, több száz új felhasználó jött létre a nyilvános weben elérhető, javítatlan TeamCity példányokon.

A CVE-2024-27198 kritikus sebezhetőség súlyossági pontszáma 9.8, és a TeamCity minden verzióját érinti a 2023.11.4 kiadásig.

kami911 képe

45 ezer nyilvános Jenkins szerver van kitéve RCE támadásoknak

Beküldte kami911 -

A kutatók nagyjából 45000 olyan online Jenkins példányt találtak, amelyek sebezhetőek egy kritikus távoli kódfuttatási (RCE) hibával (CVE-2024-23897) szemben, amelyre több nyilvános proof-of-concept (PoC) exploitot publikáltak.

kami911 képe

Kritikus GitLab sérülékenység, ami lehetővé teszi a fájlok felülírását

Beküldte kami911 -

A GitLab ismét javításokat adott ki a Community Edition (CE) és Enterprise Edition (EE) kritikus biztonsági hibájának kezelésére, amely a munkaterület létrehozása során kihasználható tetszőleges fájlok írására.

kami911 képe

Négy súlyos hibát azonosítottak a GNU C könyvtárban, azaz a glibc-ben

Beküldte kami911 -

A Qualys Threat Research Unit (TRU) nemrégiben négy jelentős sebezhetőséget tárt fel a GNU C könyvtárban, amely alapvető alkotóeleme számtalan alkalmazásnak a Linux környezetben.

kami911 képe

A Terrapin támadás csökkentheti az OpenSSH kapcsolatok biztonságát

Beküldte kami911 -

A Terrapin támadás képes csökkenteni az OpenSSH kapcsolatok biztonságát. Akadémiai kutatók egy új támadást fejlesztettek ki, melyet Terrapin néven publikáltak. A kapcsolat felépítésekor, a kézfogás során manipulálja a kódszámokat, hogy bizonyos széles körben használt titkosítási módok használata esetén feltörje az SSH-csatorna integritását.

Biztonsági rés: Az Intel javításokat terjeszt az érintett processzorokhoz

Beküldte balacy -

Manapság nem csak az AMD-nek kell biztonsági szivárgást betömnie. Az Intelnél is biztonsági rést fedeztek fel, amely lehetővé teszi a helyi felhasználók számára a jogosultságok kiterjesztését, információk közzétételét vagy szolgáltatásmegtagadást. A fiatalabb generációs processzorok már kaptak mikrokódos javítást.

kami911 képe

Biztonsági javítás telepítését kéri a VLC

Beküldte kami911 -

A VideoLAN projekt kiadta a VLC 3.0.20 verzióját, mint az utolsó VLC 3.0 sorozat legfrissebb frissítését. Ez a népszerű, ingyenes, nyílt forrású és platformfüggetlen médialejátszó szoftver elérhető GNU/Linux, Android, iOS, macOS, tvOS és Windows rendszerekre.

Oldalak

Feliratkozás RSS - sérülékenység csatornájára