Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 30 January 2013

2013.01.30 - Nyhetsbrev

Nok en alvorlig sårbarhet i Ruby on Rails med modul i Metasploit. Mange Internett-enheter er sårbare for svakheter i UPNP-protokollen

Ny sårbarhet i Ruby on Rails

Det er oppdaget en sårbarhet i JSON-koden i Ruby on Rails. Denne gjør det mulig å omgå autentisering, injisere fiendtlig kode eller å utføre DoS-angrep mot applikasjoner. Sårbarheten har allerede fått en modul i Metasploit-rammeverket.

Dette er tredje gangen i den siste tiden at det har blitt oppdaget alvorlige svakheter i Ruby on Rails.
Anbefaling
Oppdater til siste versjon.
Referanser
https://groups.google.com/forum/?fromgroups=#!topic/rubyonrails-security/1h2DR63ViGo
https://community.rapid7.com/community/metasploit/blog/2013/01/29/exploit-for-ruby-on-rails-cve-2013-0333

Mange Internett-enheter sårbare for svakheter i UPNP-protokollen

Firmaet Rapid 7 har scannet nettet for enheter med sårbare versjoner av UPNP (Universal Plug and Play). UPNP brukes av mange enheter for å sette opp forbindelser over nettet. Firmaet fant over 80 millioner enheter som svarte på UPNP og minst 50 millioner av disse hadde minst én svakhet.

Sammen med rapporten har firmaet også sluppet en gratis scanner for å sjekke nettverk for de aktuelle svakhetene.
Anbefaling
Undersøk om organisasjonen eksponerer UPNP mot nettet og steng eventuelt dette.
Referanser
https://community.rapid7.com/community/infosec/blog/2013/01/29/security-flaws-in-universal-plug-and-play-unplug-dont-play
http://arstechnica.com/security/2013/01/to-prevent-hacking-disable-universal-plug-and-play-now/

No comments:

Post a Comment

Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.