sårbarheder

Apple lukker root-sikkerhedshul

Apple har udsendt Security Update 2017-001 til macOS High Sierra 10.13 og macOS High Sierra 10.13.1.

Opdateringen fjerner en sårbarhed, der lader angribere logge ind som root (med administratorprivilegier) uden at angive et password.

Sårbarheden kan udnyttes af angribere med fysisk adgang til Mac'en, samt hvis de har fjernadgang.

Nogle brugere har oplevet, at fildeling ikke virkede, efter de installerede opdateringen. Apple oplyser, at problemet kan løses med en enkelt kommando.

Dansk

MacOS tillader login som root uden password

En fejl i macOS 10.13 High Sierra gør det muligt at logge ind som root (systemadministrator) uden password. Det kan ske fra login-skærmen.

Angriberen skal indtaste "root" som bruger, lade password-feltet være tomt, taste Enter og derefter klikke et par gange på knappen "Unlock". Derefter er man logget ind som root med fuld kontrol over maskinen.

En angriber skal have fysisk adgang eller fjernadgang til Mac'en for at kunne udnytte sårbarheden.

Apple arbejder på en softwareopdatering, der skal løse problemet.

Dansk

Alvorligt hul i Exim står åbent

En sikkerhedsforsker har opdaget en sårbarhed i det udbredte mailserverprogram Exim. En angriber kan udnytte sårbarheden til at afvikle skadelig programkode.

Sårbarheden ligger i behandlingen af store vedhæftede filer via såkaldt chunking.

Udviklerne af Exim har endnu ikke lukket hullet. Det ventes at ske med Exim version 4.90. En foreløbig rettelse er ved at blive testet.

Indtil rettelsen er klar, kan man slå den sårbare funktion fra i konfigurationen af Exim.

Dansk
Keywords: 

Intel lukker alvorlige huller i chipsæt

Sikkerhedsforskere har fundet flere sårbarheder i Management Engine, Trusted Execution Engine og Server Platform Services. Det er teknologier, der indgår i firmaets chipsæt til pc’er og servere.

Millioner af produkter er sårbare. Det gælder computere med 6., 7. eller 8. generation Core-processorer, samt Xeon, Atom, Apollo Lake og Celeron.

Nogle af sårbarhederne kan kun udnyttes af en angriber med fysisk adgang til computeren.

I alt er der otte sårbarheder. Intel har udsendt opdateringer, der lukker hullerne.

Dansk

Apache CouchDB lukker alvorlige huller

Ved at udnytte to sårbarheder i Apache CouchDB kan angribere få administratorprivilegier. Den ene sårbarhed giver også mulighed for at afvikle kommandoer.

CouchDB er en database, der ikke er en relationsdatabase. Den opbevarer data i form af nøgle-værdi-par.

Den ene sårbarhed skyldes, at databasens interne parser og en Javascript-baseret parser ikke behandler data på samme måde.

Fejlene er rettet i CouchDB version 2.1.1 og 1.7.0/1.7.1.

Anbefaling

Opdater til en rettet version.

Dansk

SAP lukker 32 sikkerhedshuller

Softwarehuset SAP har udsendt 32 opdateringer fordelt på 22 SAP Security Patch Day Notes og 10 Support Package Notes.

Tre af opdateringerne fjerner kritiske sårbarheder. De er alle opdateringer til tidligere udsendte rettelser.

Blandt de sårbare produkter Text Conversion, LaMa, LVM, SAP Management Console og NetWeaver Java Workflow.

Rettelserne blev udsendt den 14. november.

Anbefaling

Test og installer opdateringerne.

Dansk
Keywords: 

Oracle lukker alvorlige huller i Tuxedo

En CVSS-score (Common Vulnerability Scoring System) på 10 er den højeste risikovurdering af en sårbarhed. Den har en af de nyopdagede sårbarheder i Oracle Tuxedo fået.

En anden er vurderet til 9,9, mens de øvrige er på henholdsvis 7,5, 7 og 5,3.

Sårbarhederne findes i Jolt-serveren, der er indbygget i Tuxedo.

Peoplesoft er blandt de produkter, der bruger Tuxedo. Derfor kan en angriber udnytte sårbarhederne til at få fuld kontrol med et Peoplesoft-system.

Dansk

Adobe lukker 80 huller i flere produkter

November måneds sikkerhedsrettelser fra Adobe lukker 80 sikkerhedshuller i ni produkter: Flash Player, Photoshop CC, Adobe Connect, Acrobat og Reader, DNG Converter, InDesign CC, Digital Editions, Shockwave Player og Adobe Experience Manager.

56 sårbarheder findes i Acrobat og Reader til Windows og Macintosh. Flere af dem er kritiske. Fejlene er rettet i versionerne 2018.009.20044, 2017.011.30068, 2015.006.30392 og 11.0.23.

Der er fem kritiske sårbarheder i Flash Player. De er rettet med version 27.0.0.187.

Dansk

Microsoft lukker 53 sikkerhedshuller

Microsoft har fjernet 53 sårbarheder fra Internet Explorer, Edge, Windows, Office, ASP.NET, .NET og Chakra.

25 af sårbarhederne giver angribere mulighed for at afvikle skadelig programkode.

14 rettelser er til Windows. 20 sårbarheder har fået firmaets højeste risikovurdering. De findes alle i browserne Internet Explorer og/eller Edge.

Blandt rettelserne til Office-pakken er en, der lukker et hul, som har eksisteret i 17 år. Det findes i lignings-editoren.

Microsoft udsendte rettelserne i sidste uge.

Dansk

Sider

Abonnér på RSS - sårbarheder