Svakhet i Tinyproxy kan føre til overtakelse av server. Svakhet i Citrix Netscaler ADC og Gateway kan føre til lekkasje av intern informasjon.
Svakhet i Tinyproxy kan føre til overtakelse av server
Cisco Talos har oppdaget en kritisk svakhet i TinyProxy som kan gjøre det mulig å ta kontroll over servere som eksponerer tjenesten. Over 90.000 instanser av tjenesten er eksponert åpent på Internett, og over 50% av disse er sårbare for svakheten.
Svakheten har fått benevnelsen CVE-2023-49606 med CVSS-score på 9.8 av 10, og er en "use-after-free"-svakhet, altså at applikasjonen fortsetter å bruke et minneområde etter at det har blitt frigjort fra bruk.
Talos meldte fra om svakheten i desember 2023, men de ansvarlige for TinyProxy mottok ikke eposten, siden det ble brukt en utdatert epost-adresse. Det finnes derfor ikke en fiks for svakheten enda.
Brukere av tjenesten bør vurdere å ta den av nett til en fikset versjon foreligger.
Svakhet i Citrix Netscaler ADC og Gateway
Citrix har gitt ut en ny versjon av Citrix Netscaler ADC og Gateway, som utbedrer en svakhet som lar en ekstern angriper hente ut informasjon fra minnet til serveren. Svakheten minner mye om "Citrix Bleed" (CVE-2023-4966)-svakheten fra 2023, men denne varianten har ikke like stor sjanse for å lekke sensitiv informasjon. Svakheten oppstår fordi applikasjonen leser fra minneområder som egentlig ikke er tildelt til den.
Svakheten ble oppdaget i januar av sikkerhetsforskere fra Bishop Fox. Svakheten har ikke fått en ny CVE tildelt, siden den har mye overlapp med CVE-2023-4966. Svakheten er fikset i versjon 13.1-51.15.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.