sårbarheder

Cisco lukker hul i Struts i flere produkter

Sårbarheden har været kendt siden den 6. marts. Den findes i Jakarta Multipart-parseren, der indgår i Apache Struts 2. Dermed er en række produkter, der anvender Struts, ramt.

Cisco har fundet frem til 21 produkter, der anvender Struts og derfor er sårbare.

Firmaet har udsendt rettelser til de fleste.

Cisco har endvidere udsendt en række andre sikkerhedsrettelser. De fjerner primært sårbarheder, der kan sætte produkter ud af drift.

Anbefaling

Gennemgå listen over sårbare produkter og opdater dem, som I anvender.

Dansk

Google lukker 29 huller i Chrome

Ingen af sårbarhederne har fået firmaets højeste risikovurdering. Mindst tre har fået den næsthøjeste.

En af dem affødte en dusør på 3.000 dollars til sikkerhedsforskeren, der opdagede den. Sårbarheden ligger i PDFium.

Derudover er der et par sårbarheder i Omnibox og Blink.

Fejlene er rettet i Chrome 58.0.3029.81 til Windows, Macintosh og Linux.

Anbefaling

Genstart Chrome for at aktivere opdateringen.

Dansk

Mozilla lukker 39 huller i Firefox

Otte af sårbarhederne regnes for kritiske. 20 har fået den næsthøjeste risikovurdering, syv er moderate og fire udgør kun en lille risiko.

25 af sårbarhederne findes også i tidligere versioner af Firefox. De er rettet med Firefox ESR 45.9.

33 sårbarheder er rettet med Firefox ESR 52.1 for brugere, der ikke ønsker at opdatere til version 53.

Anbefaling

Genstart Firefox for at opdatere til en rettet version.

Dansk

Drupal lukker alvorligt hul

Sårbarheden lader en angriber omgå adgangskontrollen. Drupal betegner sårbarheden som kritisk.

Fejlen findes ikke i Drupal 7, men kun i Drupal 8. Fejlen er rettet med Drupal 8.3.1.

Brugere, der stadig anvender 8.2.7 eller tidligere versioner, kan opdatere til 8.2.8. Normalt udsender Drupal ikke opdateringer til ældre versioner, men på grund af denne sårbarheds høje risiko har udviklerne gjort det denne gang.

Anbefaling

Opdater til Drupal 8.3.1 eller 8.2.8.

Dansk

VMware lukker alvorlige huller i Unified Access, Horizon View og Workstation

Et bufferoverløb i Unified Access Gateway og Horizon View lader angribere afvikle programkode på sikkerhedsgatewayen.

Seks sårbarheder i Cortado ThinPrint rammer Workstation og Horizon View Client. Også her kan angribere afvikle programkode. Sårbarhederne ligger i behandlingen af JPEG2000 og TrueType-fonte i TPView.dll.

Fejlene er rettet i disse versioner:

Dansk

Oracle lukker 299 sikkerhedshuller

MySQL tegner sig for 13 procent af rettelserne i april kvartals sikkerhedsrettelser fra Oracle. 11 af de 39 sårbarheder i MySQL kan udnyttes over nettet, uden at angriberen har en konto på systemet.

37 procent af rettelserne er til Oracles brancheløsninger og til Fusion Middleware. De fleste af dem kan udnyttes over netværk uden en brugerkonto.

25 af rettelserne lukker huller relateret til en kendt sårbarhed i Apache Struts.

Der er otte rettelser til Java SE, hvoraf de syv kan udnyttes over netværk uden en brugerkonto. Fejlene er rettet i Java 8 Update 131.

Dansk

VMware lukker AMF3-hul i vCenter Server

Sikkerhedshullet findes i vCenter Server 6.0 og 6.5, mens version 5.5 ikke er ramt.

Sårbarheden er af den type, som sikkerhedsforsker Markus Wulftange advarede om før påske. Han har fundet tre sårbarheder i deserialization-koden for objekter af typen Action Message Format version 3 (AMF3).

VCenter anvender programmet BlazeDS til at behandle AMF3-objekter. Det er et af de sårbare programmer, Markus Wulftange har identificeret.

Fejlen ligger i vCenters funktion Customer Experience Improvement Program. Systemet er også sårbart, selvom man ikke bruger funktionen.

Dansk

Adobe retter Flash, Acrobat, Reader, Photoshop, Campaign og Creative Cloud

Rettelserne blev udsendt i sidste uge. De lukker:

  • Syv alvorlige huller i Flash Player.
  • 40 alvorlige huller i Adobe Reader og Acrobat.
  • Et alvorligt hul i Photoshop CC til Windows og Macintosh,
  • Et mindre alvorligt hul i Creative Cloud Desktop Application.
  • Et mindre alvorligt hul i Adobe Campaign.

Angribere kan udnytte de alvorligste sårbarheder til at overtage kontrollen med det sårbare system.

Dansk

Microsoft lukker 45 sikkerhedshuller

For første gang siden 1998 blev sikkerhedsrettelserne ikke offentliggjort i sikkerhedsbulletiner. I stedet fortæller Microsoft om rettelserne via portalen Security Update Guide.

Ifølge sårbarhedsfirmaet Qualys er den vigtigste rettelse til Office og WordPad. Sårbarheden CVE-2017-0199 giver en angriber mulighed for at køre programkode, hvis offeret kan narres til at åbne en fil. Angribere var begyndt at udnytte sårbarheden, før Microsoft lukkede hullet.

Dansk

AMF3-biblioteker til Java er sårbare

Sårbarheden ligger i deserialization-funktionerne, der omdanner en strøm af bytes til et objekt. Flere programmer har tidligere haft sårbarheder i behandlingen af deserialization.

En sikkerhedsforsker har fundet tre sårbarheder i Java-implementeringer af koden, der udfører deserialization på objekter af typen Action Message Format. Det er et format, Adobe anvender i Flash Player.

Blandt de sårbare produkter er Adobe Flex BlazeDS, som Adobe ikke længere vedligeholder. Brugere anbefales at bruge den open source-version, som Apache vedligeholder.

Dansk

Sider

Abonnér på RSS - sårbarheder