Jenkins, som er en leverandør af open source-automatiseringsserver har udgivet 34 advisories med fejl, der berører 25 plugins. Kun fire af de 25 plugins har indtil videre fået rettelser.
Det skriver The Register.
Sårbarhedstyperne omfatter bl.a. cross-site scripting (XSS), adgangskoder, API-nøgler, hemmeligheder og tokens gemt i klartekst; cross-site request forgery (CSRF). Elleve af de 34 sårbarheder er vurderet til at have ’høj sværhedsgrad’, 14 er medium, og 9 siges at være lav.
Cisco har advaret sine kunder om fire sårbarheder, hvor af én er alvorlig. Det skriver The Register på baggrund af et advisory fra Cisco.
Fejlen har fået id’et CVE-2022-20664 og en score på 7,7 på CVSS-skalaen. Den findes i webadministrationsgrænsefladen i Ciscos Secure Email and Web Manager og Email Security Appliance i både de virtuelle og hardwareenheder. Der er tale om nye fejl, der kommer oven i de sårbarheder, der blev rapporteret om i forrige uge. Her var en af fejlene (CVE-2022-20798) kritiske med en score på 9,8.
Der er fundet en sårbarhed i Cisco Email Security Appliance, Cisco Secure Email & Web Manager, der kan åbne for omgåelse af de normale autentifikationsprocesser under specifikke forhold. Udnyttelse sårbarheden kan føre til uautoriseret adgang til den webbaserede administrationsgrænseflade på en ikke-opdateret enhed. Sårbarheden har fået scoren 9,8 på CVSS-skalaen og har id-nummeret CVE-2022-20798.
Der er foreløbig ikke rapporteret udnyttelser af sårbarhederne.
Adobe har udsendt en lang række rettelser for at håndtere 46 sårbarheder i deres virksomhedsrettede softwareprodukter i forbindelse med Patch Tuesday. Det skriver Security Week.
Der er bl.a. tale om kritiske fejl, der kan udsætte både Windows- og macOS-brugere for ondsindede hackerangreb i form af afvikling af skadelig kode. De mest alvorlige af de dokumenterede fejl påvirker Adobe Animate, Adobe Bridge, Adobe Illustrator, Adobe InCopy og Adobe InDesign. Dog har Adobe ikke kendskab til, at nogen af fejlene pt. bliver udnyttet i angreb.
Drupals sikkerhedsteam har udgivet en advisory for at gøre opmærksom på alvorlige sårbarheder i et tredjepartsbibliotek til Drupal. Advisorien advarer om, at angribere udnytte fejlene til at overtage Drupal-drevne websteder.
Det skriver Securiy Week.
Sårbarhederne har id-numrene CVE-2022-31042 og CVE-2022-31043 og er blevet fundet og rettet i Guzzle. Guzzle er et tredjepartsbibliotek, som Drupal bruger til at håndtere HTTP-anmodninger og svar på eksterne tjenester.
Google har udsendt opdateringer til Chromebrowseren til Windows, Mac og Linux til håndtering af syv sårbarheder. Det skriver Security Week. Fire af sårbarhederne er blevet indrapporteret af eksterne researchere, hvoraf en af dem har fået 10.000 dollar for ulejligheden.
CISA har sammen med MS-ISAC udsendt en ’alert’ samme med en advisory om, at trusselsaktører pt udnytter den nyligt opdaterede sårbarhed i F5 BIG-IP. Det skriver Dark Reading.
Sårbarheden giver en uautoriseret aktør mulighed for at få kontrol over berørte systemer via administrationsporten eller selv-IP-adresser.
Konkret drejer det sig om den mest alvorlige fejl i den sending af rettelser, der kom på gaden i starten af maj. Fejlen har id’et CVE-2022-1388 og en CVSS-score på 9,8.
Konkret er fejlen relevant i disse versioner af F5 BIG-IP:
VMware har udgivet patches til håndtering af to sikkerhedsfejl, der påvirker Workspace ONE Access, Identity Manager og vRealize Automation. Det skriver Ars Technica på baggrund af en advisory fra VMware.
Den mest kritiske fejl har id’et CVE-2022-22972 (CVSS-score: 9,8) og vedrører omgåelse af autentificering. Sårbarheden gør det muligt for en angriber med netværksadgang til brugergrænsefladen at få administrativ adgang uden forudgående godkendelse.
Det amerikanske CISA har udsendt en ’alert’, der beordrer føderale myndigheder at håndtere en række udnyttede sårbarheder i VMware-produkter. Konkret drejer det sig om VMware Workspace ONE Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation, vRealize Suite Lifecycle Manager.
Advarslen er refereret i en række artikler i diverse medier, men udførligt beskrevet på CISAs hjemmeside.
Det amerikanske svar på Center for Cybersikkerhed, CISA, har sammen med sikkerhedsmyndigheder fra Canada, New Zealand, Australien og UK udgivet en ’joint advisory’, der opstiller de 15 mest udnyttede sårbarheder i 2021.
Advisoriet blev offentliggjort i går den 27. april via det sjældendt brugte format, ’Alert’, som der kun er udsendt 13 af i år. Alert’et er omtalt i en række medier, herunder Dark Reading og Bleeping Computer.
Øverst på listen står Log4Shell-sårbarheden, på trods af at den først blev afsløret i slutningen af året.
