اصلاحیههای عرضه شده در سومین هفته آبان ماه
به گزارش شرکت مهندسی شبکه گستر، در هفتهای که گذشت، بنیاد آپاچی و شرکتهای سیسکو و ویاِموِر اقدام به عرضه توصیهنامه و بهروزرسانی امنیتی برای برخی از محصولات خود کردند.
دوشنبه، 14 آبان ماه، بنیاد آپاچی با انتشار یک توصیهنامه به نحوه ارتقای یک کتابخانه برنامهنویسی آسیبپذیر با نام Commons FileUpload که در نسخه 2.3.36 و نسخههای قبل از آن نرمافزار Apache Struts مورد استفاده قرار گرفته پرداخت. بهرهجویی از این آسیبپذیری مهاجم را قادر به در اختیار گرفتن کنترل سیستم میکند. توصیهنامه مذکور در لینک زیر قابل دریافت است.
شرکت سیسکو نیز در هفتهای که گذشت با ارائه بهروزرسانی، چندین ضعف امنیتی را در محصولات زیر ترمیم و اصلاح کرد.
- Cisco Stealthwatch Management Console
- Cisco Unity Express
- Cisco Meraki Local Status Page
نسخههای جدید، در مجموع، آسیبپذیریهایی از نوع عبور از سد کنترلهای اصالتسنجی (Authentication Bypass)، اجرای کد بالقوه مخرب بهصورت از راه دور (Remote Code Execution) و ترفیع امتیازی (Privilege Escalation) را پوشش میدهند. توضیحات بیشتر در لینکهای زیر قابل دسترس است.
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181107-smc-auth-bypass
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181107-cue
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181107-meraki
در هفتهای که گذشت ویامور هم اقدام به عرضه بهروزرسانی برای پوشش ضعفهای امنیتی محصولات ESXi،وWorkstation و Fusion نمود. سوءاستفاده از ضعفهای مذکور به مهاجم امکان خواهد داد تا کنترل سیستم را در دست بگیرد. جزییات کامل در خصوص این بهروزرسانیها که جمعه شب، 18 آبان ماه منتشر شدند در لینک زیر قابل مطالعه است:
همچنین در این هفته، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای کشور (ماهر) از امکان سوءاستفاده از یک آسیبپذیری وصلهنشده در ویژگی Online Video نرمافزار Microsoft Word خبر داد. مشروح گزارش ماهر در لینک زیر قابل دریافت است.