Kritisk feil i Kubernetes Image Builder gir SSH root-tilgang til VM-er. Kritisk sårbarhet i Jetpack-plugin fikset i 101 oppdateringer. Oppdatering av Chrome Stable Channel. Oracle fikser over 200 sårbarheter i oktober CPU (Critical Patch Update). F5 fikser svakheter i BIG-IP og BIG-IQ.
Kritisk feil i Kubernetes Image Builder gir SSH root-tilgang til VM-er
En kritisk sårbarhet i Kubernetes, kjent som CVE-2024-9486, gir uautorisert SSH-tilgang til virtuelle maskiner (VM-er) opprettet med Kubernetes Image Builder versjon 0.1.37 eller tidligere, spesielt for bilder bygget med Proxmox provider. Problemet skyldes at standardkonto for innlogging er aktivert under byggingsprosessen, og ikke blir deaktivert etterpå. Angripere kan utnytte dette for å få root-tilgang til berørte VM-er.
Den anbefalte løsningen er å oppdatere til Image Builder versjon 0.1.38 eller senere, som setter et tilfeldig generert passord og deaktiverer "builder"-kontoen etter byggingen. Alternativt kan brukere midlertidig redusere risikoen ved å deaktivere builder-kontoen med kommandoen usermod -L builder.
En annen relatert sårbarhet, CVE-2024-9594, påvirker bilder bygget med Nutanix, OVA, QEMU eller raw providers. Den har middels alvorlighetsgrad siden den krever tilgang til VM-en som oppretter bildet under byggeprosessen. Samme løsning og tiltak gjelder.
Kritisk sårbarhet i Jetpack-plugin fikset i 101 oppdateringer
Automattic har utgitt sikkerhetsoppdateringer for 101 versjoner av WordPress-pluginen Jetpack for å fikse en kritisk sårbarhet som var tilgjengelig siden 2016 (versjon 3.9.9). Feilen ble oppdaget under en intern sikkerhetsgjennomgang og påvirker alle utgivelser fra versjon 3.9.9 og fremover. Sårbarheten, som gir innloggede brukere mulighet til å lese besøkendes innsendinger via Jetpacks kontaktskjema, er nå løst med disse oppdateringene.
Administratorer av nettsider som bruker Jetpack oppfordres til å sjekke sin versjon og oppdatere om nødvendig. Automattic har ingen bevis for at sårbarheten har blitt utnyttet, men advarer om at det kan skje nå som oppdateringene er ute.
Oppdatering av Chrome Stable Channel: Kritiske sikkerhetspatcher inkludert i ny versjon
Chrome Stable channel har oppdatert til versjon 130.0.6723.58/.59 for Windows, Mac og Linux. Denne oppdateringen inkluderer flere sikkerhetsoppdateringer, som retter 17 sårbarheter. Den mest kritiske, CVE-2024-9954, er en "use after free"-sårbarhet i AI, med en bugbounty-premie på $36,000. Oppdateringen inkluderer også sikkerhetsforbedringer av medium og lav alvorlighetsgrad knyttet til komponenter som Web Authentication, DevTools, og Picture-in-Picture.
Oracle fikser over 200 sårbarheter i oktober CPU (Critical Patch Update)
Oracle kunngjorde tirsdag 334 nye sikkerhetsoppdateringer i sin oktober 2024 Critical Patch Update (CPU). Av disse er 186 sikkerhetsoppdateringer for sårbarheter som kan utnyttes eksternt uten autentisering. Oracle Communications fikk flest sikkerhetsoppdateringer, med 81 av 100 oppdateringer rettet mot eksternt utnyttbare sårbarheter som ikke krever autentisering. MySQL, Fusion Middleware, Financial Services Applications, E-Business Suite er blant andre programmer som mottok flere sikkerhetsoppdateringer i denne patche-runden. Oracle oppfordrer kundene til å installere sikkerhetsoppdateringene raskt, da trusselaktører historisk er kjent for å utnytte kjente sårbarheter i Oracle-produkter.
F5 fikser svakheter i BIG-IP og BIG-IQ
På onsdag ga F5 ut sin kvartalsvise oppdatering for sine produkter. Blant annet utbedres svakheten CVE-2024-45844 i BIG-IP, som gjør det mulig for en bruker med eksisterende tilgang til systemet å utvide rettighetene sine. Vi anbefaler F5-kunder å se over oppdateringene.
