Η SolarWinds ανακοίνωσε αυτή την εβδομάδα ενημερώσεις κώδικα για πολλαπλές ευπάθειες υψηλής σοβαρότητας στο Serv-U, συμπεριλαμβανομένου ενός προβλήματος που αναφέρθηκε από έναν penetration tester που συνεργάζεται με το ΝΑΤΟ.
Η έκδοση 2024.2 της πλατφόρμας SolarWinds περιλαμβάνει ενημερώσεις κώδικα για τρία νέα ελαττώματα ασφαλείας και διορθώσεις για πολλά third-party σφάλματα. Το πρώτο ζήτημα, CVE-2024-28996, που αναφέρθηκε από τον Νils Putnins του Οργανισμού Επικοινωνιών και Πληροφοριών του ΝΑΤΟ, περιγράφεται ως injection ελάττωμα SWQL. Το SWQL, ένα υποσύνολο της SQL μόνο για ανάγνωση, επιτρέπει στους χρήστες να θέτουν ερωτήματα στη βάση δεδομένων SolarWinds για πληροφορίες δικτύου.
Διαβάστε επίσης: PHP: Διόρθωση ευπάθειας που επηρεάζει όλες τις εκδόσεις Windows
Η SolarWinds επίσης κυκλοφόρησε ενημερώσεις κώδικα για δύο ελαττώματα ασφαλείας στη web κονσόλα της πλατφόρμας: CVE-2024-28999, μια ευπάθεια συνθήκης αγώνα, και CVE-2024-29004, ένα ελάττωμα αποθηκευμένου XSS που απαιτεί υψηλά προνόμια και αλληλεπίδραση με τον χρήστη για εκμετάλλευση.
Σύμφωνα με την εταιρεία, τα τρωτά σημεία επηρεάζουν την έκδοση 2024.1 SR 1 και τις προηγούμενες εκδόσεις της πλατφόρμας SolarWinds. Οι χρήστες καλούνται να ενημερώσουν στην έκδοση 2024.2 το συντομότερο δυνατό.
Η νέα έκδοση περιλαμβάνει επίσης επιδιορθώσεις για ένα ελάττωμα μεσαίας σοβαρότητας στο Angular και δέκα ζητήματα υψηλής και μεσαίας σοβαρότητας στο OpenSSL, μερικά από τα οποία είχαν αποκαλυφθεί πριν από επτά χρόνια. Τα περισσότερα από αυτά τα ζητήματα θα μπορούσαν να χρησιμοποιηθούν για την πρόκληση DoS.
Αυτή την εβδομάδα, η SolarWinds κυκλοφόρησε μια επείγουσα επιδιόρθωση για το CVE-2024-28995, μια ευπάθεια υψηλής σοβαρότητας στο Serv-U που μπορεί να επιτρέψει σε hackers να διαβάζουν ευαίσθητα αρχεία στον κεντρικό υπολογιστή. Με βαθμολογία CVSS 8,6, το σφάλμα επηρεάζει την έκδοση επείγουσας επιδιόρθωσης Serv-U 15.4.2 και όλες τις προηγούμενες εκδόσεις, συμπεριλαμβανομένων των Serv-U FTP Server, Serv-U Gateway και Serv-U MFT Server.
Δείτε περισσότερα: Κρίσιμες ευπάθειες στο WooCommerce Amazon Affiliates plugin
Η επείγουσα επιδιόρθωση Serv-U 15.4.2 επιλύει το ελάττωμα και είναι συμβατή με συστήματα Windows και Linux. Η SolarWinds αναφέρει ότι καμία από αυτές τις ευπάθειες δεν έχει αναφερθεί ότι τυγχάνει εκμετάλλευσης επί του παρόντος. Συνιστάται στους χρήστες και διαχειριστές να εφαρμόσουν τις διαθέσιμες ενημερώσεις κώδικα το συντομότερο δυνατό.
Πηγή: securityweek
