sårbarheder

Apache lukker to sikkerhedshuller i Tomcat

Dansk

Apache Tomcat 7.0.81 blev udsendt den 16. august. Apache har nu frigivet information om to sårbarheder, der blev fjernet ved den lejlighed.

Den ene gør det muligt at uploade en JSP-fil til serveren. Angriberen kan derefter køre filen og dermed afvikle skadelig programkode på serveren. Sårbarheden kan kun udnyttes på Windows, og kun hvis HTTP PUT er slået til.

Den anden sårbarhed gør det muligt at se kildekoden for JSP-filer.

Apache giver begge sårbarheder den næsthøjeste risikovurdering.

Anbefaling

Opdater til Apache Tomcat 7.0.81.

Apple retter iOS, Safari, tvOS, watchOS og Xcode

Dansk

Den seneste udgave af styresystemet til iPhone, iPad og iPod er iOS 11. Den lukker otte sikkerhedshuller.

Version 11 af browseren Safari lukker tre sikkerhedshuller.

Programmeringsværktøjet Xcode er kommet i version 9, der lukker syv sikkerhedshuller.

Endvidere har Apple udsendt tvOS 11 og watchOS 4, men firmaet har endnu ikke offentliggjort, hvilke sårbarheder de retter.

Den 12. september udsendte Apple iTunes 12.7 til macOS og Windows, men heller ikke dem er der offentliggjort detaljer om endnu.

Anbefaling

Opdater til seneste version.

WordPress lukker ni sikkerhedshuller

Dansk

Den nye version 4.8.2 fra WordPress retter ni sårbarheder. En af dem ligger i funktionen $wpdb->prepare(), der kan danne usikre forespørgsler, som kan føre til SQL-indsætning. Selve WordPress-kernen er ikke ramt af SQL-indsætning, men plugins og temaer der anvender funktionen, kan blive ramt.

Fem af de øvrige sårbarheder er af typen cross-site scripting.

Hvis man har slået automatisk opdatering til, vil ens WordPress automatisk blive opdateret inden for et døgn.

Anbefaling

Slå automatisk opdatering til eller opdater manuelt.

VMware lukker alvorligt hul i ESXi, Workstation og Fusion

Dansk

En sårbarhed i et virtuelt grafikkort giver applikationer i en virtuel maskine mulighed for at afvikle kode på den fysiske maskine, den kører på. Sårbarheden ligger i SVGA-enheden.

Fejlen findes i ESXi 6.5, Workstation 12.x og Fusion 8.x. Den er rettet i Workstation 12.5.7, Fusion 8.5.8 og med patchen ESXi650-201707101-SG til ESXi.

Ved samme lejlighed har VMware også rettet et par mindre alvorlige fejl i de samme produkter samt i vCenter Server 6.5.

Anbefaling

Opdater til en rettet version af de berørte produkter.

Magento lukker sikkerhedshuller

Dansk

Den alvorligste sårbarhed i Magentos seneste sikkerhedsrettelser har fået en CVSS-score (Common Vulnerability Scoring System) på 8,2 ud af 10. Dermed regnes den for alvorlig.

En autentificeret administrator med begrænsede privilegier kan udnytte sårbarheden til at afvikle skadelig programkode.

Derudover lukker Magento tre sikkerhedshuller med risikovurderingen høj og 28 med mellemstor risiko. Endelig er der to lavrisikosårbarheder.

Fejlene er rettet i Magento Commerce og Open Source 2.1.9 og 2.0.16.

Anbefaling

Opdater til en rettet version.

SAP lukker 33 sikkerhedshuller

Dansk

September måneds sikkerhedsrettelser fra SAP består af 23 SAP Security Patch Day Notes og 10 Support Package Notes. Tre af dem har fået SAP's næsthøjeste risikovurdering, mens ingen har den højeste.

Den alvorligste sårbarhed har fået en CVSS-score (Common Vulnerability Scoring System) på 8,1.

Sårbarheder af typen cross-site scripting var de mest udbredte. Manglende tjek af autorisationer var på en andenplads.

Anbefaling

Opdater til en rettet version af de berørte applikationer.

Keywords: 

Sårbarheder i Bluetooth gør angreb mulige

Dansk

Sikkerhedsfirmaet Armis Labs har opdaget otte sårbarheder i implementeringer af Bluetooth-protokollen. De findes i Linux, Android, Windows, iOS og tvOS.

Producenterne har offentliggjort opdateringer, der lukker hullerne.

Angribere kan udnytte sårbarhederne til at afvikle skadelige programmer på enhederne eller udføre man-in-the-middle-angreb. Det kræver kun, at Bluetooth er aktiveret på enheden.

Angribere skal være fysisk i nærheden af enheden for at kunne udnytte sårbarhederne.

Microsoft lukker 81 sikkerhedshuller

Dansk

September måneds sikkerhedsrettelser fra Microsoft lukker 81 sikkerhedshuller, hvoraf 27 har fået firmaets højeste risikovurdering.

38 af sårbarhederne findes i Windows.

Angribere udnytter aktivt en sårbarhed i .Net Framework. Det kræver blot, at offeret kan lokkes til at åbne et skadeligt dokument eller program. Ifølge sikkerhedsfirmaet FireEye bruges den til at sprede spionprogrammet Finspy. Sårbarheden er blandt dem, Microsoft nu har fjernet.

Anbefaling

Slå automatisk opdatering til. Installer opdateringerne automatisk eller manuelt.

Adobe lukker huller i Flash, ColdFusion og RoboHelp

Dansk

En opdatering til Adobe Flash Player lukker to kritiske sikkerhedshuller. Angribere kan udnytte dem til at afvikle skadelig programkode.

Fejlene er rettet i Flash Player version 27.0.0.130.

Opdateringer til ColdFusion fjerner tre kritiske sårbarheder og en mindre alvorlig.

Fejlene er rettet med Update 5 til 2016-versionen og Update 13 til ColdFusion 11.

En opdatering til RoboHelp lukker et vigtigt og et mindre alvorligt sikkerhedshul.

Fejlene er rettet med RH2017.0.2 eller RH12.0.4.460 (Hotfix).

10 sikkerhedshuller i D-Link-router står åbne

Dansk

Sikkerhedsforsker Pierre Kim har fundet sårbarhederne og offentliggjort dem, uden at D-Link først er blevet orienteret. Derfor findes der endnu ingen rettelser til dem.

Der findes to versioner af DIR-850L. Fire af sårbarhederne findes i dem begge.

En sårbarhed giver angribere mulighed for at narre offeret til at installere en ændret version af firmwaren til routeren.

Der er flere sårbarheder af typen cross-site scripting i den indbyggede webserver.

Sider

Abonnér på RSS - sårbarheder