Обзор уязвимостей за неделю: 19 июня 2020 года
19 июня 2020 года
На этой неделе исследователи безопасности сообщили об опасных уязвимостях в проприетарном TCP/IP-стеке Treck, предназначенном для встраиваемых систем, которые подвергают сотни миллионов IoT-устройств угрозе удаленного взлома.
Treck TCP/IP содержит в общей сложности 19 уязвимостей, объединенных под общим названием Ripple20. Их эксплуатация позволяет удаленно выполнить код, осуществить DoS-атаку и похитить конфиденциальные данные. Эксплуатация осуществляется путем отправки жертвам специально сформированных IP-пакетов или DNS-запросов, а в некоторых случаях атаки могут быть проведены непосредственно из интернета. Компания Adobe выпустила внеплановые обновления безопасности, устраняющие 18 критических уязвимостей. Эксплуатация проблем позволяет злоумышленникам выполнить произвольный код на системах с уязвимыми версиями Adobe After Effects, Illustrator, Premiere Pro, Premiere Rush и Audition под управлением Windows или macOS.
В сервере приложений Apache TomEE была исправлена опасная уязвимость ( CVE-2020-11969 ), эксплуатация которой позволяет удаленному злоумышленнику получить несанкционированный доступ к приложению. Уязвимость связана с тем, что интерфейс JMX доступен неавторизованным пользователям через 1099/TCP-порт, если Apache TomEE настроен на использование встроенного брокера ActiveMQ, а унифицированный идентификатор ресурса (URI) брокера включает параметр useJMX=true.
В продукте Oracle Human Resources интегрированной группы приложений Oracle E-Business Suite были обнаружены две опасные уязвимости ( CVE-2020-2587, CVE-2020-2586 ). Эксплуатация проблем позволяет удаленному авторизованному пользователю повышать привилегии в приложении. Успешная эксплуатация уязвимостей может привести к несанкционированному созданию, удалению или изменению доступа к критически важным данным или может быть использована для осуществления частичной DoS-атаки. Разработчики Drupal выпустили обновления, исправляющие ряд уязвимостей в ядре Drupal, в том числе одну RCE-уязвимость. Проблема (CVE-2020-13664) затрагивает версии Drupal 8 и 9. Злоумышленник может путем обмана заставить администратора посетить вредоносный сайт, что приведет к созданию в файловой системе специально именованного каталога. С помощью данного каталога злоумышленник может попытаться путем брутфорса проэксплуатировать уязвимость удаленного выполнения кода. Разработчики из некоммерческой организации VideoLan выпустили версию медиапроигрывателя VLC Media Player 3.0.11, исправляющую опасные уязвимости, две из которых (CVE-2020-9308, CVE-2020-13428) позволяют удаленно выполнить код. Третья проблема (CVE-2019-19221) — уязвимость чтения за пределами поля, позволяющая удаленному злоумышленнику похитить конфиденциальную информацию. Решение Rockwell Automation FactoryTalk View SE содержит критическую уязвимость ( CVE-2020-12029 ), эксплуатация которой позволяет удаленно выполнить код. Уязвимость связана с некорректной проверкой введенных пользователем данных в именах файлов в каталоге проекта.
Источники править
Эта статья содержит материалы из статьи «Обзор уязвимостей за неделю: 19 июня 2020 года», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.