Veeam lanserer fiks for programvarefeil som lot inntrengere lese backup-data. Jenkins advarer om ny sårbarhet som kan føre til ekstern kodeeksekvering. Fortinet varsler om kritisk RCE sårbarhet i FortiOS og FortiProxy. Chrome: Oppdatering av stabil-versjonen for desktop. Varsel vedrørende sårbarheter i Cisco-utstyr.
Veeam lanserer fiks for programvarefeil som lot inntrengere lese backup-data
| Veeam lanserer fiks for sine Backup & Replication produkter, der en ikke-innlogget bruker kunne lese backup-data ved å hente ut krypterte nøkler fra VeeamVBR konfigurasjons-databasen. Selve sårbarheten (CVE-2023-27532) stammer fra at programmet "Veeam.Backup.Service.exe" til vanlig kjører på port 9401, noe inntrengerene kunne utnytte for å hente ut nøkler. Veeam tilbyr også en midlertidig fiks som involverer blokkering av ekstern kommunikasjon til TCP port 9401, men oppdatering av programvaren er foretrukket. |
||||
| Referanser | ||||
|---|---|---|---|---|
|
https://www.bleepingcomputer.com/news/securit[...] |
Jenkins advarer om ny sårbarhet som kan føre til ekstern kodeeksekvering
| Jenkins advarer nå mot flere sårbarheter som tillater en ikke-innlogget bruker å oppnå ekstern kodeeksekvering på "Jenkins server" og "Update Center" produkter (CVE-2023-27898 og CVE-2023-27905). Sårbarhetene stammer fra måten Jenkins prosesserer plugins i Update Center, der en trusselaktør kan laste opp en ondsinnet plugin og trigge et cross-site scripting (XSS) angrep. Jenkins anbefaler brukere å oppdatere "server" og "Update Center" til nyeste versjon. |
||||
| Referanser | ||||
|---|---|---|---|---|
|
https://thehackernews.com/2023/03/jenkins-sec[...] |
Fortinet varsler om kritisk RCE sårbarhet i FortiOS og FortiProxy
| Fortinet varsler om en kritisk sårbarhet i FortiOS og FortiProxy produkter som tillater en ikke-autentisert bruker å oppnå ekstern kodeeksekvering eller utføre denial of service (DoS)-angrep. Sårbarheten (CVE-2023-25610) har en CVSS score på 9.3 og omhandler buffer underflow, en feil som kan oppstå dersom et program prøver å lese mer data fra minne-buffer enn hva som er tilgjengelig. Sårbarheten omhandler versjoner av FortiOS fra 6.0 til 7.2 og FortiProxy 1.1 til 7.2. For mer informasjon se vedlagt lenke. |
||||
| Referanser | ||||
|---|---|---|---|---|
|
https://www.bleepingcomputer.com/news/securit[...] |
Chrome utgivelse: Oppdatering av stabil-versjonen for desktop
| Google varslet om en ny Chrome versjon 111 i stabil-kanalen for desktop. Chrome versjon 111.0.5563.64 (Linux og Mac) og 111.0.5563.64/.65 (Windows) inkluderer blant annet 40 sikkerhetsoppdateringer. Den nye versjonen vil rulle ut i de nærmeste dagene/ukene og det anbefales å oppdatere så snart det lar seg gjøre. | ||||
| Referanser | ||||
|---|---|---|---|---|
|
https://chromereleases.googleblog.com/2023/03[...] |
Varsel vedrørende sårbarheter i Cisco-utstyr
| Cisco publiserte 8. mars sin halvårlige publikasjon med oppdateringer av Cisco IOS XR. Denne beskriver to sårbarheter i IOS XR-programvaren. Cisco har gitt ut programvareoppdateringer som adresserer disse sårbarhetene. CVE-2023-20049 har en CVSS score på 8.6 og handler om en sårbarhet i BFD-implementasjonen for ASR 9000 serien. Denne kan gi en uautentisert ekstern angriper mulighet til å tilbakestille et linjekort, noe som resulterer i en DoS. CVE-2023-20064 har en CVSS score på 4.6 og handler om en sårbarhet i GRUB for IOS XR-programvaren hvor utnyttelse kan føre til tilgang til sensitive filer. En større mengde produkter er utsatt for sårbarheten, men angriperen trenger fysisk tilgang til utstyret for å kunne utnytte den. |
||||
| Referanser | ||||
|---|---|---|---|---|
|
https://sec.cloudapps.cisco.com/security/cent[...] |