sårbarheder

Drupal lukker alvorligt hul

Sårbarheden lader en angriber omgå adgangskontrollen. Drupal betegner sårbarheden som kritisk.

Fejlen findes ikke i Drupal 7, men kun i Drupal 8. Fejlen er rettet med Drupal 8.3.1.

Brugere, der stadig anvender 8.2.7 eller tidligere versioner, kan opdatere til 8.2.8. Normalt udsender Drupal ikke opdateringer til ældre versioner, men på grund af denne sårbarheds høje risiko har udviklerne gjort det denne gang.

Anbefaling

Opdater til Drupal 8.3.1 eller 8.2.8.

Dansk

VMware lukker alvorlige huller i Unified Access, Horizon View og Workstation

Et bufferoverløb i Unified Access Gateway og Horizon View lader angribere afvikle programkode på sikkerhedsgatewayen.

Seks sårbarheder i Cortado ThinPrint rammer Workstation og Horizon View Client. Også her kan angribere afvikle programkode. Sårbarhederne ligger i behandlingen af JPEG2000 og TrueType-fonte i TPView.dll.

Fejlene er rettet i disse versioner:

Dansk

Oracle lukker 299 sikkerhedshuller

Dansk

MySQL tegner sig for 13 procent af rettelserne i april kvartals sikkerhedsrettelser fra Oracle. 11 af de 39 sårbarheder i MySQL kan udnyttes over nettet, uden at angriberen har en konto på systemet.

37 procent af rettelserne er til Oracles brancheløsninger og til Fusion Middleware. De fleste af dem kan udnyttes over netværk uden en brugerkonto.

25 af rettelserne lukker huller relateret til en kendt sårbarhed i Apache Struts.

Der er otte rettelser til Java SE, hvoraf de syv kan udnyttes over netværk uden en brugerkonto. Fejlene er rettet i Java 8 Update 131.

VMware lukker AMF3-hul i vCenter Server

Sikkerhedshullet findes i vCenter Server 6.0 og 6.5, mens version 5.5 ikke er ramt.

Sårbarheden er af den type, som sikkerhedsforsker Markus Wulftange advarede om før påske. Han har fundet tre sårbarheder i deserialization-koden for objekter af typen Action Message Format version 3 (AMF3).

VCenter anvender programmet BlazeDS til at behandle AMF3-objekter. Det er et af de sårbare programmer, Markus Wulftange har identificeret.

Fejlen ligger i vCenters funktion Customer Experience Improvement Program. Systemet er også sårbart, selvom man ikke bruger funktionen.

Dansk

Adobe retter Flash, Acrobat, Reader, Photoshop, Campaign og Creative Cloud

Dansk

Rettelserne blev udsendt i sidste uge. De lukker:

  • Syv alvorlige huller i Flash Player.
  • 40 alvorlige huller i Adobe Reader og Acrobat.
  • Et alvorligt hul i Photoshop CC til Windows og Macintosh,
  • Et mindre alvorligt hul i Creative Cloud Desktop Application.
  • Et mindre alvorligt hul i Adobe Campaign.

Angribere kan udnytte de alvorligste sårbarheder til at overtage kontrollen med det sårbare system.

Microsoft lukker 45 sikkerhedshuller

Dansk

For første gang siden 1998 blev sikkerhedsrettelserne ikke offentliggjort i sikkerhedsbulletiner. I stedet fortæller Microsoft om rettelserne via portalen Security Update Guide.

Ifølge sårbarhedsfirmaet Qualys er den vigtigste rettelse til Office og WordPad. Sårbarheden CVE-2017-0199 giver en angriber mulighed for at køre programkode, hvis offeret kan narres til at åbne en fil. Angribere var begyndt at udnytte sårbarheden, før Microsoft lukkede hullet.

AMF3-biblioteker til Java er sårbare

Dansk

Sårbarheden ligger i deserialization-funktionerne, der omdanner en strøm af bytes til et objekt. Flere programmer har tidligere haft sårbarheder i behandlingen af deserialization.

En sikkerhedsforsker har fundet tre sårbarheder i Java-implementeringer af koden, der udfører deserialization på objekter af typen Action Message Format. Det er et format, Adobe anvender i Flash Player.

Blandt de sårbare produkter er Adobe Flex BlazeDS, som Adobe ikke længere vedligeholder. Brugere anbefales at bruge den open source-version, som Apache vedligeholder.

Adobe og Microsoft retter på tirsdag

Dansk

Adobe oplyser, at firmaet lukker sikkerhedshuller i Acrobat og Reader tirsdag den 11. april.

Microsoft har ikke oplyst, hvilke rettelser firmaet planlægger. Men tirsdag er den anden tirsdag i måneden, hvor Microsoft normalt udsender sine månedlige rettelser.

Rettelserne kommer som regel efter kl. 19 dansk tid.

Anbefaling

Vær forberedt på sikkerhedsrettelserne i påskeferien.

Links

Cisco lukker huller i Aironet

Dansk

Den alvorlige sårbarhed består i, at de trådløse netværksenheder er udstyret med et standardbrugernavn og -password. Hvis man kender passwordet, kan man få SSH-adgang med privilegier som administrator på enheden.

Fejlen findes i programmet Cisco Mobility Express Software version 8.2.x. Den er rettet i version 8.2.111.0.

Cisco har givet sårbarheden firmaets højeste risikovurdering.

Endvidere har Cisco lukket tre sikkerhedshuller, der har fået den næsthøjeste risikovurdering:

Gigabyte lukker huller i firmware til Brix-systemer

Dansk

Sårbarhederne ligger i computernes UEFI (Unified Extensible Firmware Interface). Hvis angribere kan komme til at afvikle programmer på en sårbar computer, kan de installere et rootkit på den, der aktiveres, når maskinen bootes.

Sikkerhedsfirmaet Cylance oplyser, at den ene sårbarhed gør det muligt at afvikle kode i System Management Mode (SMM). Den anden sårbarhed består i, at systemet ikke tjekker, at en opdatering er signeret korrekt.

Sider

Abonnér på RSS - sårbarheder