Tag Archives: Apache

Olulisemad turvanõrkused 2024. aasta 38. nädalal

Apple avaldas iOSi ja iPadOSi versiooni 18

Uues iOSi versioonis on paigatud vähemalt 33 turvaviga, mille kaudu on võimalik rünnata nii iPhone’i kui ka iPadi seadmeid. Varasemas versioonis olevad turvaaugud võimaldavad ründajal saada ligipääsu tundlikele andmetele või hankida täieliku kontrolli seadme üle.

Lisaks avaldati ka turvauuendustega operatsioonisüsteem macOS Sequoia 15.

Kuigi hetkel ei ole avalikku infot, et parandatud turvanõrkusi oleks reaalselt ära kasutatud, soovitab Apple iOSi ja iPadOSi uuendada esimesel võimalusel versioonile 18 (SW, Apple).

Uuenduse tegemisel soovitame arvestada, et esimestel päevadel peale uuenduste paigaldamist võib seadme aku vastupidavus olla tavapärasest väiksem, kuna peale suuremat versiooniuuendust teeb seade taustategevusi, mis kulutavad energiat (ZD).

Ivanti hoiatab kriitilise turvavea eest Cloud Service Appliance’i tarkvaras

Eelmise nädala blogipostituses kirjutasime, et Ivanti paikas erinevates toodetes hulga turvanõrkusi. 19. septembril andis aga ettevõte teada, et Cloud Services Appliance’i (CSA) versioonis 4.6 (kasutusea lõpus olev tooteversioon) on avastatud uus kataloogihüppe (path traversal) turvanõrkus CVE-2024-8963 (CVSS skoor 9.4/10), mida koos varem leitud turvanõrkusega CVE-2024-8190 (CVSS skoor 7.2/10) rünnakutes aktiivselt ära kasutatakse. Need turvanõrkused koos võimaldavad autentimata ründajal mööduda autentimisest ja käivitada paikamata seadmetes endale sobilikke käske.

Soovitame uuendada Ivanti CSA tarkvara uusimale versioonile ja vältida kasutusea lõpus tarkvara kasutamist (BC).

Atlassian paikas oma sisemajutuses kasutatavates toodetes mitmeid turvavigu

Kolmapäeval avaldas Atlassian mitmed turvauuendused sisemajutuses kasutatavatele Data Center and Serveri versioonidele Bamboo, Bitbucketi, Confluence’i ja Crowdi tarkvaradest. Neli haavatavust, mis tuvastati kõikides nimetatud tarkvarades, võimaldasid ründajal tekitada teenusele teenusetõkestusründe (DoS) seisundi.

Atlassiani tooted on varasemalt olnud rünnakute sihtmärgiks, mistõttu soovitame sisemajutuses Atlassiani tooteid kasutavatel asutustel uuendada tarkvara võimalikult kiiresti viimasele versioonile (SW, Atlassian, Atlassian Server EOL).

VMware parandas kriitilised haavatavused oma tarkvaras

Teisipäeval avaldas VMware vCenter Serveri tarkvara turvauuendused. Parandati kriitiline puhvri ületäitumise turvanõrkus CVE-2024-38812 (CVSS skoor on 9.8/10) ja õiguste vallutuse nõrkus CVE-2024-38813 (CVSS skoor 7.5/10).

Mõjutatud on VMware vCenter Serveri versioonid 7.0 ja 8.0 ning VMware Cloud Foundationi versioonid 4.x ja 5.x. Vead on parandatud vCenter Serveri versioonides 8.0 U3b ja 7.0 U3s, soovitame tarkvara uuendada (SW).

D-Link parandas kriitilised haavatavused kolme populaarse ruuterimudeli püsivaras

D-link parandas kolmes populaarses ruuterimudelis kriitilised turvanõrkused, mis võimaldasid ründajal käivitada endale sobivat koodi või saada ruuterile ligipääs, kasutades püsikodeeritud pääsumandaate (hardcoded credentials).

Parandused on loodud järgmistele mudelitele:

  • COVR-X1870 (non-US) püsivara (firmware) versioon v1.02 ja varasemad;
  • DIR-X4860 püsivara versioon v1.04B04_Hot-Fix ja varasemad;
  • DIR-X5460 püsivara versioon v1.11B01_Hot-Fix või varasem.

Kuna D-Link-i ruuterid on sageli pahavara botnet’ide rünnakute all, soovitame ruuteri püsivara uuendada (BC).

Apache’i HugeGraph-Serveri turvanõrkus on aktiivsete rünnakute all

CISA hoiatab, et Apache’i HugeGraph-Serveri turvanõrkust CVE-2024-27348 (CVSS skoor 9.8), mis võimaldab koodi kaugkäitust, kasutatakse aktiivsete rünnakuteks ära. Antud turvanõrkus on parandatud HugeGraphi versiooniga 1.3.0 aprillis 2024. Soovitame uuendada tarkvara viimasele olemasolevale versioonile (BC).

SolarWinds paikas kriitilised turvanõrkused ARMi tarkvaras

Eelmisel nädalal tegi SolarWinds kaks turvauuendust Access Rights Manageri (ARM) tarkvarale. Kõige kriitilisem neist oli koodi kaugkäitust võimaldav viga tähisega CVE-2024-28991 (CVSS skoor 9.0/10). Mõlemad nõrkused on parandatud ARMi versioonis 2024.3.1.

Teadaolevalt pole õnnestunud neid nõrkuseid ära kasutada, kasutajatel soovitatakse tarkavara uuendada kõige värskemale versioonile (HN).

Olulisemad turvanõrkused 2024. aasta 32. nädalal

Google paikas Androidi nullpäeva turvanõrkuse

Kokku paigati 46 haavatavust, mille hulgas oli ka koodi kaugkäivitamist võimaldav viga, mida on juba rünnetes ära kasutatud. Suurem osa paigatud haavatavustest on hinnatud suure mõjuga vigadeks. Lisaks paigati ka nullpäeva turvanõrkus tähisega CVE-2024-36971, mis on Linuxi kerneli haavatavus ja võimaldab muuta võrguühendusi. Google’i sõnul on näha, et nullpäeva turvaviga on proovitud rünnetes kuritarvitada. Sel kuul avaldas Google kaks Androidi turvauuenduste paketti: 2024-08-01 ja 2024-08-05. Turvapaigad avaldati ka Wear OSi operatsioonisüsteemile. Soovitame kõigil Androidi seadmete kasutajatel tarkvara uuendada (BC, SW).

Apache OfBiz tarkvaras paigati koodi kaugkäivitamise viga

Apache OfBiz on avatud lähtekoodiga ERP (Enterprise Resource Planning) tarkvara, milles paigati haavatavus tähisega CVE-2024-38856. Viga on hinnatud kriitilise CVSS skooriga 9.8/10 ja sellele on avaldatud ka kontseptsiooni tõendus, mistõttu võib eeldada et peagi hakatakse seda viga ära kasutama. Haavatavuse kaudu on võimalik autentimata ründajal suvalist koodi käivitada. Viga mõjutab kõiki tarkvara versioone kuni 18.12.14 ja kasutajatel soovitatakse uuendada tarkvara versioonile 18.12.15 või uuemale.

CISA hoiatas, et Apache OfBiz tarkvaras olevat maikuus avalikuks tulnud turvaviga tähisega Apache OfBiz CVE-2024-32113 on rünnetes kuritarvitatud. Viga mõjutab kõiki tarkvara versioone kuni 18.12.13. Tänu oma mitmekülgsusele ja kulutõhususele kasutatakse Apache OfBiz tarkvara paljudes tööstusharudes ja ettevõtetes (HN, BC).

Chrome’i ja Firefoxi veebilehitsejates paigati haavatavusi

Google avaldas Chrome’i versiooni 127.0.6533.99, Windowsi, Maci ja Linuxi seadmetele, milles on paigatud kuus turvaviga. Paigatud vigadest üks (CVE-2024-7532) on hinnatud kriitilise mõjuga ja ülejäänud viis suure mõjuga haavatavuseks.

Mozilla Firefoxi uues versioonis 129 on paigatud kokku 14 turvanõrkust, millest 11 on hinnatud suure mõjuga veaks. Mozilla avaldas turvapaigad ka tarkvaradele Thunderbird ja Firefox ESR. Soovitame kõigil Chrome’i ja Firefoxi kasutajatel teha turvauuendus. Kumbki ettevõte ei ole avaldanud infot turvavigade ärakasutamise kohta (SW).

Cisco hoiatab IP-telefonide kriitilisest turvaveast

Koodi kaugkäivitamist võimaldavad kriitilised nullpäeva turvanõrkused mõjutavad Cisco IP-telefone seeriatest SPA 300 ja SPA 500. Mõlemate seeriate tootmine on lõpetatud ja neile ei avaldada enam turvauuendusi.

Cisco on avalikustanud viis haavatavust, millest kolm on hinnatud kriitiliseks (CVSS skoor 9.8/10) ja kaks suure mõjuga (CVSS skoor 7.5/10) veaks. Kriitilised turvanõrkused on tähistega CVE-2024-20450, CVE-2024-20452 ja CVE-2024-20454. Suure mõjuga turvavead on tähistega CVE-2024-20451 ja CVE-2024-20453.

Nimetatud telefonide kasutajatel oleks soovitatav üle minna uuematele mudelitele, näiteks Cisco IP-telefoni mudelile 8841 või mõnele telefonile Cisco 6800 seeriast (BC).

Microsoft hoiatab Outlooki paikamata turvaveast

Microsoft avaldas nullpäeva turvanõrkuse tähisega CVE-2024-3820 (CVSS skoor 7.5/10), mille eduka ärakasutamise korral on võimalik saada ligipääs tundlikule infole. Kurjategija saadab e-kirja või sõnumi, millele on lisatud pahatahtlik link ja sellele vajutades käivitatakse kasutaja arvutis fail. Haavatavus mõjutab järgmisi Outlooki versioone: Microsoft Office 2016, Microsoft Office LTSC 2021, Microsoft 365 Apps for Enterprise ja Microsoft Office 2019.

Veale peaks tulema parandus 13. augustil. Hetkel on Microsoft avaldanud leevendavad meetmed, mille leiab lisatud linkidelt (HN, Microsoft).

1Password paroolihalduris olevad kriitilised turvavead võimaldavad paroole varastada

Turvavead tähistega CVE-2024-42219 ja CVE-2024-42218 mõjutavad paroolihalduri 1Passwordi macOSi versiooni ning nende kaudu on võimalik saada ligipääs kasutaja paroolidele. Turvavead on paigatud tarkvara versioonides v8.10.36 ja  v8.10.38. Hetkel teadaolevalt ei ole kurjategijatel õnnestunud haavatavusi ära kasutada (HNS).

Olulisemad turvanõrkused 2024. aasta 27. nädalal

Miljonid OpenSSH serverid on koodi kaugkäivitamise veale haavatavad

Qualysi küberturbeteadurite sõnul on potentsiaalselt 14 miljonit OpenSSH serverit ohus koodi kaugkäivitamist võimaldava vea tõttu, mida nimetatakse regreSSHion. Shodani ja Censys andmete põhjal on internetile avatud enam kui 14 miljonit seadet. Turvaviga tähisega CVE-2024-6387 võimaldab autentimata ründajal saada juurõigused ja käivitada pahaloomulisi käske ning seejärel võtta kontrolli kogu süsteemi üle. Lisaks on võimalik eduka ründe korral ohvri süsteemi paigaldada pahavara ja tagauksi. Turvaviga on võrreldud ka 2021. aastal avalikuks tulnud Log4Shell haavatavusega – teadurite sõnul on regreSSHion sama tõsise ja kriitilise mõjuga.

Viga mõjutab OpenSSH versioone 8.5p1 kuni 9.7p1 ning on parandatud versioonis 9.8p1. Täpsemalt mõjutab haavatavus glibc-põhiseid Linuxi süsteeme ning hetkel ei ole teada, et seda oleks võimalik kuritarvitada Windowsi või macOSi süsteemides.

Qualys on küll avaldanud tehnilist teavet turvavea kohta, kuid kontseptsiooni tõendust ei ole avalikuks tehtud, et vältida rünnete kasvu (SA, SW, ZDNET).

Androidi tarkvarauuendus parandab kriitilise vea

Androidi nutiseadmetes paigati 25 turvaviga, nende hulgas oli kriitiline haavatavus Frameworki komponendis. Turvaviga tähisega CVE-2024-31320 võib kaasa tuua õigustega manipuleerimise ja mõjutab Androidi versioone 12 ning 12L. Suurem osa vigadest on hinnatud suure mõjuga haavatavusteks.

Sel korral ei avaldatud koos turvauuendusega Pixeli seadmete paikasid – ka eelmisel kuul said need avalikuks umbes kaks nädalat peale Androidi seadmete uuendamist.

Soovitame Androidi nutiseadmete tarkvara uuendada esimesel võimalusel (SW, Android).

Cisco paikas nullpäeva turvanõrkuse

Cisco parandas NX-OS tarkvaras nullpäeva turvanõrkuse tähisega CVE-2024-20399, mis võimaldab ründajal käivitada operatsioonisüsteemis suvalisi käsklusi.

Viga mõjutab järgmisi Cisco seadmeid:

  • MDS 9000 Series Multilayer Switches
  • Nexus 3000 Series Switches
  • Nexus 5500 Platform Switches
  • Nexus 5600 Platform Switches
  • Nexus 6000 Series Switches
  • Nexus 7000 Series Switches
  • Nexus 9000 Series Switches in standalone NX-OS mode.

Kuna turvanõrkuse ärakasutamiseks peavad ründajal olema administraatoriõigused, siis on seda hinnatud keskmise mõjuga haavatavuseks CVSS skooriga 6.0/10.

Hiinast pärit häkkerite rühmitus Velvet Ant on juba asunud haavatavust kuritarvitama ning kõik Cisco seadmete kasutajad peaks tarkvara uuendama (DR).

Polyfill[.]io rünnak mõjutab ligi 400 000 hosti

Juuni lõpus avalikuks tulnud Polyfill[.]io tarneahela rünnak on palju laiema ulatusega kui esialgu arvati. Nüüdseks on selgunud, et enam kui 380 000 hosti suunavad kasutajaid pahaloomulisele domeenile. Nende hulgas on ka suurte ettevõtete nagu Mercedes-Benz ja WarnerBros domeenid.

Juuni lõpus tuli avalikuks info, et Hiina ettevõte Funnull on ostnud Polyfill.io teenuse ja muutnud seal kasutusel olevat JavaScripti teeki nii, et veebilehtede kasutajad suunatakse ümber pahatahtlikele või kelmusega tegelevatele saitidele. Kuna Polyfill.js on populaarne avatud lähtekoodiga teek vanemate brauserite toetamiseks, siis mõjutab see suurt hulka kasutajaid.

Turvaeksperdid soovitavad veebisaitide omanikel ettevaatusabinõuna oma koodibaasist eemaldada kõik viited hostile polyfill.io ja sellega seotud domeenidele (HN, Censys).

Apache parandas kriitilise turvavea Apache HTTP Serveris

Viga tähisega CVE-2024-39884 mõjutab Apache HTTP Serveri tarkvara ning selle kaudu on võimalik saada ligipääs lähtekoodile. Lisaks paigati veel mitmeid teisi haavatavusi, mis võimaldavad ründajatel teenuseid tõkestada, koodi kaugkäivitada ja saada volitamata juurdepääsu süsteemidele.

Apache Foundation soovitab kasutajatel uuendada tarkvara versioonile 2.4.61, kus turvavead on paigatud (SA).