Vikii

Обзор уязвимостей за неделю: с 15 по 19 февраля 2021 года

В теме 1 сообщение

На этой неделе компания QNAP устранила критическую уязвимость в приложении Surveillance Station, эксплуатация которой позволяет злоумышленникам удаленно выполнять вредоносный код на сетевых хранилищах QNAP NAS с запущенным уязвимым ПО. Уязвимость ( CVE-2020-2501 ) затрагивает версии Surveillance Station старше 5.1.5.3.3, 5.1.5.4.3.

Разработчики OpenSSL выпустили исправления для трех уязвимостей в своем проекте, эксплуатация которых позволяет осуществлять атаки типа «отказ в обслуживании» (DoS) и MitM-атаки. Проблемы CVE-2021-23841 и CVE-2021-23840 были исправлены в версии OpenSSL 1.1.1j, а CVE-2021-23839 — в версии 1.0.2y.

В популярном наборе средств разработки Agora Video SDK, используемом многочисленными приложениями (включая eHarmony, Plenty of Fish, MeetMe, Skout Talkspace и Practo) была обнаружена уязвимость ( CVE-2020-25605 ), позволяющая скрыто наблюдать за приватными видео- и аудиозвонками. Проблема связана с ненадежным шифрованием и могла быть проэксплуатирована злоумышленниками для осуществления атак «человек посередине» и перехвата коммуникаций между участниками диалога. Уязвимость исправлена в версии Agora SDK 3.2.1.

На этой неделе также была обнаружена уязвимость в сетевом шлюзе Digi ConnectPort X2e, используемом в солнечных установках. В частности, Digi ConnectPort X2e содержит две уязвимости ( CVE-2020-9306 и CVE-2020-12878 ), которые злоумышленники могут использовать для получения доступа к домашней или корпоративной сети через уязвимое устройство. Первая связана с наличием вшитых учетных данных, а вторая представляет собой уязвимость повышения привилегий.

Техногигант Google устранил множественные уязвимости в своем браузере Chrome, почти все из которых позволяли удаленно выполнить код. Microsoft выпустила обновления для своего браузера Edge, разработанного на базе Chromium, также исправляющие эти проблемы.

Также сообщалось о множественных RCE-уязвимостях в ряде продуктов, в частности, в библиотеке libmaxminddb , Soar Cloud System HR Portal , ISC BIND , SPIP и пакете static-eval для npm (для этой уязвимости нет исправления).

Поделиться сообщением


Ссылка на сообщение

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти