mastodoni ja Atlassiani logod kõrvuti-

Olulised turvanõrkused 2022. aasta 46. nädalal

Mozilla paikas Firefoxi veebilehitsejal mitu turvaviga

Eelmisel nädalal avalikustas Mozilla Firefoxi veebilehitseja uue versiooni, milles on parandatud 19 turvaviga, k.a üheksa kõrge mõjuga haavatavust (SW). Nende üheksa haavatavuse abil võib ründajal õnnestuda hankida teatud laadi teavet kasutaja kohta ja häirida rakenduse tööd. Nimekirja parandatud vigadest leiate siit.

Kes ja mida peaks tegema?

Turvavead on paigatud Firefoxi versioonis 107. Kui te Firefoxi kasutate, on soovituslik uuendada veebilehitseja esimesel võimalusel. Juhised, kuidas seda teha, leiate siit.

Atlassian parandas kriitilised turvavead

Atlassian parandas oma toodetes Crowd Server and Data Center ja Bitbucket Server and Data Center kriitilised turvavead CVE-2022-43782 (9.0/10.0) ja CVE-2022-43781 (9.0/10.0) (BP).

CVE-2022-43782 põhineb konfiguratsiooniveal, mis võimaldab ründajal kõrvale hiilida parooli kontrollmehhanismidest. Nõrkuse kuritarvitamine on siiski võimalik ainult teatud tingimustel.

Näiteks, kui te uuendasite Crowdi süsteemi versioonilt 2.9.1 versioonini 3.0.0 või uuemale, siis see ei ole haavatav. Kui te paigaldasite kohe haavatava versiooni 3.0.0 või sellest uuema versiooni ning varem ühtegi vanemat versiooni tarkvarast ei kasutanud, on teie Crowdi tarkvara siiski mõjutatud. Samuti on nõrkuse ärakasutamise jaoks vajalik, et ründaja IP-aadress oleks lisatud rakenduse Remote Address konfiguratsiooni (versioonide 3.0.0 ja uuemate puhul ei ole vaikimisi seal ühtegi IP-aadressi). Haavatavus mõjutab Crowd Serveri versioone 3.0.0 kuni 3.7.2, 4.0.0 kuni 4.4.3 ja 5.0.0 kuni 5.0.2.

CVE-2022-43781 mõjutab seevastu Bitbucket Server and Data Center tarkvara ja võimaldab ründajatel potentsiaalselt käivitada pahaloomulist koodi haavatavates süsteemides. Turvanõrkuse vastu on mõjutatud süsteemid, mis kasutavad tarkvaraversiooni 7.0-7.21 või teatud eelduse korral (kui mesh.enabled=false) versiooni 8.0-8.4.

Kes ja mida peaks tegema?

Kui te kasutate neid mõjutatud versiooniga tarkvarasid, lähtuge tootjapoolsetest juhistest siin ja siin ning rakendage vajalikud uuendused ja/või kaitsemeetmed.

Infoturbeteemasid kajastavas Mastodoni keskkonnas oli tõsine turvaviga

Novembris avastati, et populaarsust koguvas infoturbeteemasid käsitlevas Mastodoni keskkonnas oli nõrkus, mille põhjustas ebaefektiivne HTML-sisendi filtreerimine. Nõrkuse abil saanuks varastada näiteks keskkonna kasutajate kasutajatunnuseid (Portswigger).

Mastodoni hinnangul oli nõrkus ainult selle keskkonna põhine, kuid sellest hoolimata väljastati uued tarkvara versioonid 4.0.1, 3.5.5 ja 3.4.10, milles on vajalikud parandused tehtud.

Pikemalt saab nõrkuse üksikasjade kohta lugeda siit.

Samba paikas koodi käivitamist võimaldava turvavea

Turvaviga CVE-2022-42898 mõjutab erinevaid Samba versioone ja peitub S4U2proxy teenuses. Nõrkus võimaldab ründajal viia mõjutatud süsteem spetsiifilise olukorrani (integer overflow), mille tõttu lakkab süsteem töötamast või õnnestub ründajal seal käivitada pahaloomulist koodi. Haavatavad on ainult 32-bitised süsteemid. Tootja hinnangul on enim ohustatud KDC (Key Distribution Center) serverid. Mõjutatud on kõik Samba versioonid, mis on vanemad kui 4.15.12, 4.16.7 või 4.17.3 (SW).

Kes ja mida peaks tegema?

Samba kasutajad peaksid tutvuma tootjapoolse informatsiooniga siin ja rakendama vajalikud turvapaigad. 

RIA analüüsi- ja ennetusosakond