sårbarheder

Drupal lukker alvorligt hul

Den alvorlige sårbarhed giver angribere mulighed for at se, rette eller slette indhold på webstedet. Det gælder kun for enheder, der ikke har UUID'er.

Den og de to øvrige sårbarheder findes kun i Drupal 8 Core. Drupal 7 Core er ikke berørt, men det er Drupal 7 Views.

Fejlene i Drupal 8 er rettet med version 8.3.7.

Fejlen i Drupal 7 Views er rettet med Views 7.x-3.17.

Anbefaling

Opdater til en rettet version.

Dansk

Symantec lukker to sikkerhedshuller i mail-gateway

Symantec Messaging Gateway har to sårbarheder. Den ene lader angribere afvikle programkode, den anden er af typen cross-site request forgery (CSRF). Den giver en angriber mulighed for at afvikle kommandoer ved at narre en bruger til at gå ind på en webside.

Fejlene er rettet i version 10.6.3-267.

Symantec kender ikke til eksempler på, at sårbarhederne har været udnyttet til angreb.

Anbefaling

Opdater til Symantec Messaging Gateway 10.6.3-267.

Dansk

PostgreSQL lukker tre sikkerhedshuller

Den alvorligste sårbarhed giver brugere mulighed for at logge ind med et tomt password.

En anden sårbarhed giver mulighed for, at passwords lækkes til uautoriserede brugere. Udviklerne har tidligere forsøgt at lukke sikkerhedshullet, men rettelsen var ikke fuldstændig effektiv.

Den sidste sårbarhed giver enhver bruger mulighed for at ændre på data i et stort objekt. Det skyldes, at brugerens privilegier ikke bliver kontrolleret.

Dansk

Git, Subversion og Mercurial lukker alvorligt hul

Tre udbredte systemer til versionsstyring er ramt af en sårbarhed, der ligger i behandlingen af URL'er, som begynder med "ssh:". Sårbarheden gør det muligt at afvikle en kommando på serveren, der kører Gitlab, Subversion eller Mercurial.

Fejlen er rettet i Gitlab .4.4, 9.3.10, 9.2.10, 9.1.10, 9.0.13 og 8.17.8. Der er rettelser til både GitLab Community Edition (CE) og Enterprise Edition (EE). Endvidere er Git rettet med versionerne 2.14.1, 2.7.6, 2.8.6, 2.9.5, 2.10.4, 2.11.3, 2.12.4 og 2.13.5.

Mercurial 4.3 lukker ligeledes hullet.

Dansk

Mozilla lukker 29 huller i Firefox

Fem af de 29 sårbarheder har fået Mozillas højeste risikovurdering. Flere af dem gør det muligt at afvikle skadelig programkode.

Standardindstillingen for indhold baseret på Adobe Flash Player er ændret, så brugeren nu skal klikke ok for at se det. Endvidere er Flash-indhold kun tilladt på URL'er, der begynder med http eller https.

Samtidig med version 55 har Mozilla udsendt Firefox ESR 52.3, der lukker 17 sikkerhedshuller.

Anbefaling

Genstart Firefox for at aktivere opdateringen.

Dansk

Google lukker 42 huller i Android

Som vanligt er rettelserne opdelt i generelle rettelser, der fjerner sårbarheder i hele Android, og produktspecifikke, der kun gælder for enheder med bestemt hardware.

Denne måneds opdateringer omfatter 28 generelle rettelser, hvoraf de 10 er kritiske.

Der er 14 produktspecifikke sikkerhedsopdateringer, ingen af dem kritiske.

De alvorlige sårbarheder ligger alle i Media framework. Hvis en angriber kan narre offeret til at åbne en fil, kan der afvikles skadelig programkode på enheden.

Dansk

SAP lukker 19 sikkerhedshuller

Ingen af sårbarhederne har fået SAP's højeste risikovurdering, men to har fået den næsthøjeste.

Cross-site scripting er den hyppigste sårbarhedstype, den optræder i fem af rettelserne.

De alvorligste sårbarheder findes i NetWeaver AS Java Web Container, SAP Visual Composer 04s iviews og BusinessObjects.

Anbefaling

Test og installer opdateringerne.

Dansk
Keywords: 

Adobe lukker huller i Reader og andre produkter

Opdateringen til Flash Player lukker et kritisk og et mindre alvorligt sikkerhedshul. Fejlene er rettet i version 26.0.0.151.

Opdateringerne til Acrobat og Reader lukker 67 huller, hvoraf de 43 er kritiske. Fejlene er rettet i versionerne 2017.012.20093, 2017.011.30059, 2015.006.30352 og 11.0.21.

Adobe har udsendt hotfixes til Experience Manager 6.0, 6.1, 6.2 og 6.3. De lukker tre mindre alvorlige huller.

Opdateringen til Adobe Digital Editions til Windows, Macintosh, iOS og Android lukker to kritiske og syv mindre alvorlige sikkerhedshuller.

Dansk

Microsoft lukker 48 sikkerhedshuller

25 af sårbarhederne har fået Microsofts højeste risikovurdering. Angribere udnytter en af sårbarhederne aktivt. Den ligger i Windows Search og giver mulighed for at afvikle skadelig programkode.

En sårbarhed i Hyper-V giver en angriber med adgang til en virtuel maskine mulighed for at bryde ud og afvikle kode på hypervisoren.

De øvrige kritiske sårbarheder findes i JET Database Engine, Windows PDF, Windows IME, Windows Subsystem for Linux og Scripting Engine.

Dansk

To web-kameraer er sårbare

Sikkerhedsfirmaet Checkmarx har fundet en række sårbarheder i Loftek CXS 2200 og VStarcam C7837WIP.

De har blandt andet indbyggede brugerkonti med faste passwords. Hvis brugeren ikke ændrer administratorpasswordet, kan uvedkommende oprette nye brugere og give dem privilegier som administrator.

Mange af sårbarhederne skyldes brugen af to typer software, som indgår i begge produkter. De hedder Netwave og GoAhead og stammer fra Kina, skriver Kaspersky Threatpost.

Dansk

Sider

Abonnér på RSS - sårbarheder