بروزرسانی‌ها و اصلاحیه‌های اسفند ۱۴۰۰

در اسفند ۱۴۰۰، شرکت‌های مایکروسافت، سیسکو، مک‌آفی‌اینترپرایز، بیت‌دیفندر، ایسِـت، اف-سکیور، برودکام، ترند میکرو، وی‌ام‌ور، ادوبی، گوگل، اپل، موزیلا، سوفوس، اس‌‌ای‌پی، دروپال و اپن‌-اس‌اس‌ال اقدام به عرضه بروزرسانی و توصیه‌نامه امنیتی برای برخی محصولات خود کردند.

 

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده به برخی از بااهمیت‌ترین اصلاحیه‌های اسفند ماه پرداخته شده است.

 

مـایـکـروسـافـت

 

در سه‌شنبه 17 اسفند 1400، شرکت مایکروسافت (Microsoft Corp)، مجموعه ‌اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی مارس منتشر کرد. اصلاحیه‌های مذکور بیش از 70 آسیب‌پذیری را در Windows و محصولات مختلف این شرکت ترمیم می‌کنند. این مجموعه اصلاحیه‌ها، انواع مختلفی از آسیب‌پذیری‌ها را در محصولات مایکروسافت ترمیم می‌کنند:

 

  • “ترفیع اختیارات” (Elevation of Privilege)
  • “اجرای کد به صورت از راه دور” (Remote Code Execution)
  • “افشای اطلاعات” (Information Disclosure)
  • “جعل” (Spoofing)
  • “منع سرویس” (Denial of Service – به اختصار DoS)
  • “عبور از سد امکانات امنیتی” (Security Feature Bypass)

 

با این حال، بنا بر اظهارات مایکروسافت، تاکنون هیچ یک از این ضعف‌های امنیتی به طور فعال مورد سوءاستفاده قرار نگرفته است.

 درجه اهمیت سه مورد از آسیب‌پذیری‌های ترمیم شده این ماه “حیاتی” (Critical) و دیگر موارد “مهم” (Important) اعلام شده است.

در درجه‌بندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، “حیاتی” تلقی شده و اصلاحیه‌هایی که این نوع نقاط ضعف را ترمیم می‌کنند، بالاترین درجه حساسیت یا “حیاتی” را دریافت می‌نمایند. نقاط ضعفی که سوءاستفاده موفق از آنها نیازمند فریب کاربر به انجام کاری باشد یا نیازمند دسترسی فیزیکی به دستگاه هدف باشد، توسط اصلاحیه‌هایی با درجه حساسیت “مهم” برطرف و ترمیم می‌گردند.

 

سه مورد از آسیب‌پذیری‌های ترمیم شده این ماه، از نوع “روز-صفر” (شناسه‌های CVE-2022-21990 ،CVE-2022-24459 و CVE-2022-24512) می‌باشند اما تاکنون هیچ یک از این آسیب‌پذیری‌ها بطور گسترده مورد سوءاستفاده قرار نگرفته‌اند.

 

مایکروسافت آن دسته از آسیب‌پذیری‌هایی را از نوع روز-صفر می‌داند که پیش‌تر اصلاحیه رسمی برای ترمیم آن‌ها ارائه نشده، جزییات آن‌ها به‌طور عمومی منتشر شده یا در مواقعی مورد سوءاستفاده مهاجمان قرار گرفته است. آسیب‌پذیری‌های “روز-صفر” ترمیم شده در ماه مارس ۲۰۲۲ عبارتند از:

 

  • CVE-2022-21990: آسیب پذیری از نوع “اجرای کد از راه دور” بوده و بر روی Remote Client Desktop تاثیر می‌گذارد و دارای درجه شدت 8.8 از 10 (بر طبق استاندارد CVSS) می‌باشد.
  • CVE-2022-24459: ضعف امنیتی از نوع “ترفیع اختیارات” بوده و درجه شدت آن 7.8 از 10 (بر طبق استاندارد CVSS) می‌باشد و Windows Fax و Scan Service از آن متاثر می‌شوند.
  • CVE-2022-24512: آسیب پذیری از نوع “اجرای کد از راه دور” بوده با درجه شدت 6.3 از 10 (بر طبق استاندارد CVSS) و Net. و Visual Studio از آن تاثیر می‌پذیرند.

 

با وجود اینکه که هیچ یک از این آسیب‌پذیری‌ها در حملات مورد سوءاستفاده قرار نگرفته است، مایکروسافت اعلام نموده که نمونه اثبات‌گر (Proof-of-Concept – به اختصار PoC) ضعف‌های امنیتی به شناسه CVE-2022-21990 و CVE-2022-24459 به صورت عمومی منتشر شده است. بنابراین احتمالاً به زودی توسط مهاجمان مورد سوءاستفاده قرار خواهند گرفت.

 

شایان ذکر است که تعداد وصله‌های با درجه اهمیت “حیاتی” برای ماه مارس 2022 نیز با توجه به تعداد ضعف‌های امنیتی برطرف شده در این ماه همانند ماه قبل به طرز عجیبی کم و تنها سه مورد است. در بروزرسانی و اصلاحیه‌های ماه فوریه 2022، مایکروسافت هیچ یک از آسیب‌پذیری‌های ترمیم شده را بصورت “حیاتی” رتبه‌بندی نکرده بود. فهرست 3 ضعف امنیتی “حیاتی” ترمیم شده سومین ماه از سال میلادی 2022، که همگی می‌توانند منجر به اجرای کد از راه دور شوند، به شرح زیر است:

 

  • CVE-2022-22006: ضعف امنیتی با درجه شدت 7.8 از 10 (بر طبق استاندارد CVSS) که بر HEVC Video Extensions تاثیر می‌گذارد.
  • CVE-2022-24501: آسیب‌پذیری که VP9 Video Extensions را متاثر می‌کند و دارای درجه شدت 7.8 از 10 (بر طبق استاندارد CVSS) می‌باشد.
  • CVE-2022-23277: این ضعف امنیتی دارای درجه شدت 8.8 از 10 (بر طبق استاندارد CVSS) می‌باشد و مربوط به Microsoft Exchange Server است.

 

بهره‌جویی از هر دو ضعف امنیتی مربوط به VIDEO Extensions در HEVC و VP9، به مهندسی اجتماعی نیاز دارد. یک مهاجم با فریب قربانی جهت باز نمودن یک فایل مخرب و دستکاری شده می‌تواند منجر به خرابی سیستم شود. استانداردهای کدنویسی Video Extension جهت فشرده سازی ویدئو بوده و Windows قادر به اجرای آن است تا کاربران بتوانند ویدیوهای با کیفیت بالا را تماشا کنند. از آنجایی که این دو ضعف امنیتی نیاز به دخالت کاربر دارند احتمال سوءاستفاده از آنها کم می‌باشد.

 

آسیب‌پذیری CVE-2022-24501 که دارای درجه اهمیت “حیاتی” و از نوع “اجرای کد از راه دور” است بر VP9 Video Codec تأثیر می‌گذارد. در واقع این ماه دو ضعف امنیتی در VP9 Video Extension ترمیم شده که هر دو از نوع “اجرای کد از راه دور” است. آسیب‌پذیری دوم، شناسه CVE-2022-24451 و درجه اهمیت “مهم” دارد. هر دو این آسیب‌پذیری‌ها از طریق یک فایل ویدئویی مخرب قابل سوءاستفاده هستند و بروزرسانی هر دو آنها ضروری است.

 

نکته قابل توجه دیگر درباره آسیب‌پذیری‌های VP9 آن است که اصلاحیه‌های این دو ضعف امنیتی به همراه 9 اصلاحیه دیگر که مربوط به قالب‌های مختلف گرافیکی و ویدئویی (HEIF, HEVC, raw) می‌شوند، بجای عرضه از طریق سامانه Windows Update، از طریق فروشگاه Microsoft Store ارائه می‌شوند. علاوه بر اینکه سیستم‌های آسیب‌پذیر بطور خودکار بروز‌رسانی خواهند شد، نحوه دسترسی به این اصلاحیه‌ها در اطلاعیه مایکروسافت هم توضیح داده شده است.

 

با این حال، آسیب‌پذیری CVE-2022-24501 در VP9 Video Extension از اهمیت بسیاری برخوردار است زیرا VP9 منبع باز و رایگان بوده و توسط مرورگرهای مدرن به جز Internet Explorer پشتیبانی می‌شود، بنابراین ضروری است که کاربران از بروزرسانی آن اطمینان حاصل کنند. ولی کاربران برای بکارگیری HEVC باید آن را خریداری کنند.

 

آسیب‌پذیری CVE-2022-23277 دارای درجه اهمیت “حیاتی” و از نوع “اجرای کد از راه دور” بوده و Microsoft Exchange Server از آن تاثیر می‌پذیرد. با این که مهاجم جهت بهره‌جویی از این ضعف امنیتی نیاز به احراز هویت دارد، این آسیب‌پذیری دارای پیچیدگی کم بوده و احتمال سوءاستفاده از آن “زیاد” است، بنابراین احتمالاً به زودی شاهد بهره‌جویی گسترده آن در سرورهای Exchange خواهیم بود. این ضعف امنیتی با سوءاستفاده از سرورهای آسیب‌پذیر Exchange می‌تواند به طور بالقوه در حین توسعه آلودگی در شبکه (Lateral Movement) ایمیل‌های تجاری را هک کرده و منجر به سرقت داده‌ها از ایمیل شود. لذا ضروری است با توجه به حملات اخیر به سرورهای Exchange و درجه اهمیت “حیاتی” و ماهیت آسیب‌پذیری آن، سازمان‌ها بروزرسانی آن را در اولویت قرار دهند.

 

بنا بر اظهارات محققان مایکروسافت، از میان آسیب‌پذیری‌های ترمیم شده ماه مارس 2022، ضعف‌های امنیتی زیر ممکن است بیشتر مورد توجه مهاجمان قرار گیرد.

 

آسیب‌پذیری با شناسه CVE-2022-24508 که از نوع “اجرای کد از راه دور” است و Windows SMBv3 Client/Server از آن متاثر می‌شود، می‌تواند در Windows 10 نسخه 2004 و نسخه‌های بالاتر مورد سوءاستفاده قرار گیرد.

 

از آنجایی که این ضعف امنیتی هم بر Client و هم Server تأثیر می‌گذارد، مهاجم می‌تواند از آن جهت توسعه آلودگی در شبکه استفاده کند. این ضعف امنیتی از آنجا ممکن است مورد توجه مهاجمان قرار بگیرد که در هنگام توسعه آلودگی در شبکه در Windows SMB نسخه 3، قابل اجرا از راه دور است. با وجود اینکه بهره‌جویی موفقیت‌آمیز از آن به اطلاعات اصالت‌سنجی معتبر نیاز دارد، مایکروسافت توصیه هایی در خصوص محدود کردن ترافیک SMB در ارتباطات جانبی و خارجی ارائه می‌دهد. با این که این امر، گامی قوی در پیشگیری و دفاع از شبکه است، مسدود کردن چنین ارتباطاتی می‌تواند تأثیر نامطلوبی بر ابزارهای دیگری که از این اتصالات استفاده می‌کنند، داشته باشد.

 

با این که این ضعف امنیتی بجای “حیاتی” با درجه اهمیت “مهم” رتبه‌بندی شده است و تاکنون مورد سوءاستفاده قرار نگرفته و نمونه اثبات‌گر آن نیز منتشر نشده است، نحوه بهره‌جویی از آن، این آسیب‌پذیری را به یکی از گزینه‌های احتمالی مهاجمان برای حمله تبدیل کرده و بنابراین باید با اولویت بالایی ترمیم شود.

 

همچنین سه آسیب‌پذیری از نوع “ترفیع اختیارات” (CVE-2022-23286 در Windows Cloud Files Mini Filter Driver؛ CVE-2022-24507 در Windows Ancillary Function Driver for WinSock و CVE-2022-23299 در Windows PDEV) باید در اولویت بروزرسانی قرار داده شوند زیرا می‌توانند حلقه اتصال در حملات چند مرحله‌ای باشند و احتمال سوءاستفاده از آنها “زیاد” بوده و مورد علاقه مهاجم هستند.

 

و در نهایت، ضعف امنیتی با شناسه CVE-2022-21967 که در Xbox Live Authentication در سیستم‌عامل Windows وجود دارد و می‌تواند امکان “ترفیع اختیارات” را برای مهاجم فراهم کند. به دلیل منحصر به فرد بودن ممکن است مورد توجه مهاجمان قرار گیرد. به نظر می‌رسد این اولین وصله امنیتی است که به طور خاص Xbox را تحت تاثیر قرار می‌دهد. در سال 2015 توصیه‌نامه‌‌ای برای افشای سهوی لیسانس Xbox Live ارائه شد، اما به نظر می‌رسد این اولین بروزرسانی امنیتی خاص برای خود این دستگاه باشد.

 

با توجه به این‌که نمونه اثبات‌گر برخی از ضعف‌های امنیتی این ماه منتشر شده، باید انتظار داشت که مهاجمان این آسیب‌پذیری‌ها را تحلیل نموده و نحوه بهره‌جویی از آن‌ها را بیاموزند، لذا توصیه می‌شود کاربران در اسرع وقت نسبت به بروز‌رسانی وصله‌ها اقدام نمایند.

 

فهرست کامل آسیب‌پذیری‌های ترمیم شده توسط مجموعه‌اصلاحیه‌های مارس 2022 مایکروسافت در گزارش زیر که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده قابل مطالعه است:

https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2055

 

سـیسـکو

 

شرکت سیسکو (.Cisco Systems, Inc) در اسفند ماه در چندین نوبت اقدام به عرضه بروز‌رسانی‌های امنیتی برای برخی از محصولات خود کرد. این بروز‌رسانی‌ها، 15 آسیب‌پذیری را در محصولات مختلف این شرکت ترمیم می‌کنند. درجه اهمیت سه مورد از آنها “حیاتی”، هشت مورد از آنها از نوع “بالا” (High) و چهار مورد از نوع “متوسط” (Medium) گزارش شده است. آسیب‌پذیری‌هایی همچون “منع سرویس”، “تزریق فرمان” (Command Injection)، “خواندن و نوشتن فایل دلخواه” (Arbitrary File Read and Write)، “افشای اطلاعات” و “ترفیع اختیارات” از جمله مهمترین اشکالات مرتفع شده توسط بروزرسانی‌های جدید هستند. مهاجم می‌تواند از بعضی از این آسیب‌پذیری‌ها برای کنترل سیستم آسیب‌‌پذیر سوء‌استفاده کند. توضیحات کامل در مورد بروزرسانی‌های عرضه شده در لینک‌ زیر قابل دسترس است:     

https://tools.cisco.com/security/center/publicationListing.x

 

مـک‌آفـی اینتـرپـرایز

 

در اسفند 1400، شرکت مک‌آفی اینترپرایز (McAfee Enterprise) اقدام به انتشار نسخ جدید زیر کرد:

 

  • Endpoint Security for Linux 10.7.9
  • McAfee Application and Change Control 6.4.19 Linux
  • MVISION Endpoint 2202
  • MVISION Insights March 2022
  • SIEM Enterprise Security Manager 11.5.5
  • Web Gateway 11.1.1
  • Web Gateway 10.2.7
  • Web Gateway 9.2.18

 

بـیـت‌دیـفنـدر

 

شرکت بیت‌دیفندر (Bitdefender) در اسفند ماه دو آسیب‌پذیری CVE-2021-4198 و CVE-2021-4199 را با بروزرسانی خودکار محصولات زیر، ترمیم نمود.

 

  • Total Security versions prior to 26.0.3.29
  • Internet Security versions prior to 26.0.3.29
  • Antivirus Plus versions prior to 26.0.3.29
  • Endpoint Security Tools for Windows versions prior to 7.4.3.146
  • Endpoint Security Tools versions prior to 7.2.2.92
  • VPN Standalone versions prior to 25.5.0.48

 

همچنین در ماهی که گذشت شرکت بیت‌دیفندر (Bitdefender) اقدام به انتشار نسخ جدید زیر کرد:

 

  • GravityZone Control Center 6.27.1-5
  • Bitdefender Endpoint Security Tools for Linux 7.0.3.1956
  • Bitdefender Endpoint Security for Mac 7.4.10.200015
  • Security Server Multi-Platform 6.2.6.11319
  • Security Server (VMware NSX-T) 1.1.5.11317
  • Security Server (VMware NSX-V) 6.2.5.11316

 

اطلاعات کامل در خصوص تغییرات و بهبودهای لحاظ شده در نسخ مذکور در لینک زیر قابل مطالعه است:

https://www.bitdefender.com/business/support/en/77212-48453-release-notes.html

 

ایـسِـت

 

شرکت ضدویروس ایسِت (.ESET, LLC) در اسفند ماه با بروزرسانی نسخ ضدویروس برای سیستم‌های عامل Linux آسیب‌پذیری CVE-2022-0615 را ترمیم نمود. جزییات کامل در خصوص آسیب‌پذیری ترمیم شده در لینک زیر قابل دریافت و مطالعه است:

https://support.eset.com/en/ca8230-use-after-free-vulnerability-fixed-in-eset-products-for-linux

 

اف-سـکیـور

 

شرکت ضدویروس اف-سکیور (.F-secure, Corp) با انتشار بروزرسانی 2022-02-23_01 آسیب‌پذیری CVE-2021-44747 با درجه اهمیت متوسط را در محصولات این شرکت برطرف نمود. مهاجم با بهره‌جویی از ضعف مذکور قادر خواهد بود به صورت از راه دور هسته اجرایی (Engine) ضدویروس را متوقف کند. اطلاعات کامل در این خصوص در لینک زیر قابل دسترس است:

https://www.f-secure.com/en/business/support-and-downloads/security-advisories/cve-2021-44747

 

همچنین آسیب‌پذیری CVE-2021-44750 در ابزار خطایابی Support Tool (fsdiag) که در محصولات گوناگون این شرکت وجود دارد، با ارایه اصلاحیه فوری ترمیم شده است. اطلاعات کامل در این خصوص در لینک زیر قابل دسترس است:

https://www.f-secure.com/en/business/support-and-downloads/security-advisories/cve-2021-44750

 

این شرکت با انتشار بروزرسانی 18 فوریه آسیب‌پذیری‌های CVE-2021-44749 و CVE-2021-44748 با درجه اهمیت متوسط را در محصول SAFE for Android برطرف نمود. اطلاعات کامل در خصوص آسیب‌پذیری‌های مذکور در لینک زیر قابل دسترس است:

https://www.f-secure.com/en/business/support-and-downloads/security-advisories/cve-2021-44748

https://www.f-secure.com/en/business/support-and-downloads/security-advisories/cve-2021-44749

 

برودکـام

 

شرکت برودکام (.Broadcom, Inc) با عرضه اصلاحیه‌ای با درجه اهمیت “بالا” یک آسیب‌پذیری از نوع ارتقای سطح دسترسی را در محصول Symantec Management Agent ترمیم کرده است. جزییات کامل در خصوص آسیب‌پذیری ترمیم شده در لینک زیر قابل دریافت و مطالعه است:

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/20366

 

ترنـد میکـرو

 

شرکت ترند میکرو (.Trend Micro, Inc) با عرضه اصلاحیه‌ حیاتی در 22 فوریه سه آسیب‌پذیری CVE-2022-25329 و CVE-2022-25330 و CVE-2022-25331 را ترمیم کرده است. همچنین این شرکت با انتشار نسخه Antivirus for Mac 11.0.2184 آسیب‌پذیری CVE-2022-24671 از نوع ارتقای سطح دسترسی را ترمیم نمود. جزییات کامل در خصوص آسیب‌پذیری‌های مذکور در لینک زیر قابل دریافت و مطالعه است:

https://success.trendmicro.com/dcx/s/solution/000290507?language=en_US

https://helpcenter.trendmicro.com/en-us/article/TMKA-10937

 

وی‌ام‌ور

 

در ماه گذشته، شرکت وی‌ام‌ور (.VMware, Inc) با انتشار توصیه‌نامه‌های امنیتی، نسبت به ترمیم ضعف‌های امنیتی با شناسه‌های CVE-2022-22944، CVE-2022-22943 و CVE-2022-22945 در محصولات زیر اقدام کرد:

  •  VMware Cloud Foundation (Cloud Foundation)
  • VMware NSX Data Center for vSphere (NSX-V)
  • VMware Workspace ONE Boxer
  • VMware Tools for Windows

سوءاستفاده از ضعف‌های امنیتی ترمیم شده توسط این بروزرسانی‌ها، مهاجم را قادر به در اختیار گرفتن کنترل سامانه آسیب‌پذیر و دستیابی به اطلاعات حساس می‌کند. جزییات بیشتر آن در لینک‌‌ زیر قابل مطالعه است:

https://www.vmware.com/security/advisories.html

 ادوبـی

 

شرکت ادوبی (.Adobe, Inc) در 17 اسفند ماه مجموعه اصلاحیه‌های امنیتی ماه مارس 2022 را منتشر کرد. اصلاحیه‌های مذکور، در مجموع شش آسیب‌پذیری را در سه محصول زیر ترمیم می‌کنند:

درجه اهمیت پنج مورد از آسیب‌پذیری‌های ترمیم شده این ماه “حیاتی” و یک مورد دیگر “مهم” اعلام شده است.

 

بیشترین آسیب‌پذیری ترمیم شده این ماه ادوبی، مرتبط با Adobe After Effects با چهار مورد بوده است. هر چهار ضعف امنیتی برطرف شده در این نرم‌افزار دارای درجه اهمیت “حیاتی” بوده و از نوع “اجرای کد از راه دور” (Arbitrary Code Execution) می‌باشند.

 

ادوبی در بروزرسانی ماه مارس 2022، یک ضعف امنیتی با درجه اهمیت “حیاتی” از نوع “اجرای کد” که منجر به سرریز حافظه (Buffer Overflow) می‌شود را در Illustrator ترمیم نموده است.

 

در نهایت، وصله ارائه شده برای برای Photoshop نیز تنها یک ضعف امنیتی با درجه اهمیت “مهم” را که از نوع “نشت حافظه” (Memory Leak) می‌باشد، رفع می‌کند.

 

اگر چه موردی مبنی بر سوءاستفاده از آسیب‌پذیری‌های ترمیم شده تا 17 اسفند گزارش نشده، ادوبی به مشتریان خود توصیه می‌کند که در اسرع وقت اقدام به نصب بروزرسانی‌ها کنند. اطلاعات بیشتر در خصوص مجموعه اصلاحیه‌های ماه مارس 2022 ادوبی در لینک زیر قابل مطالعه است:

https://helpx.adobe.com/security/security-bulletin.html

 

گـوگـل

 

شرکت گوگل (Google, LLC) در اسفند ماه، در چندین نوبت اقدام به ترمیم آسیب‌پذیری‌های امنیتی مرورگرChrome  کرد. آخرین نسخه این مرورگر که در 24 اسفند ماه انتشار یافت، نسخه 99.0.4844.74 است. فهرست اشکالات مرتفع شده در لینک‌‌ زیر قابل دریافت و مشاهده است:

https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_15.html

 

اپــل

 

در اسفند ماه، شرکت اپل (.Apple, Inc) با انتشار بروزرسانی، ضعف‌های امنیتی متعددی را در چندین محصول خود از جمله iOS، iPadOS، watchOS، tvOS، Safari ،Security Update Catalina ،macOS Big Sur ،macOS Monterey ،iTunes ،Xcode ،Logic Pro و GarageBand ترمیم و اصلاح کرد. سوءاستفاده از برخی از ضعف‌های مذکور، مهاجم را قادر به در اختیار گرفتن کنترل سامانه آسیب‌پذیر می‌کند. توصیه می‌شود با مراجعه به نشانی زیر، بروزرسانی مربوطه هر چه سریع‌تر اعمال شود.

https://support.apple.com/en-us/HT201222

 

مـوزیـلا

 

در ماه گذشته، شرکت موزیلا (Mozilla, Corp) با ارائه بروزرسانی، چند آسیب‌پذیری امنیتی را در مرورگرهای Firefox ،Focus، نرم‌افزار مدیریت ایمیل Thunderbird و Mozilla VPN برطرف کرد. اصلاحیه‌های مذکور، در مجموع 11 آسیب‌پذیری را در محصولات مذکور ترمیم می‌کنند. درجه حساسیت دو مورد از آنها “حیاتی”، پنج مورد از آنها “بالا”، سه مورد “متوسط” و یک مورد “پایین” (Low) گزارش شده است. سوءاستفاده از برخی از ضعف‌های مذکور، مهاجم را قادر به در اختیار گرفتن کنترل دستگاه آسیب‌پذیر می‌کند. توضیحات بیشتر در لینک زیر قابل مطالعه است:

https://www.mozilla.org/en-US/security/advisories/

 

سـوفـوس

 

شرکت سوفوس (Sophos, Ltd.) در اسفند ماه نسخه SG UTM 9.709 را منتشر کرده است. طبق روال همیشگی، نسخه جدید در چند مرحله عرضه خواهد شد.

  • در مرحله اول می‌توانید بسته بروزرسانی را از سرور سوفوس به نشانی زیر دانلود کنید. پس از ورود به نشانی زیر، به پوشه                            UTM / v9 / up2date  بروید.

https://download.astaro.com/#UTM/

  • Up2date package – 9.708 to 9.709:

https://download.astaro.com/UTM/v9/up2date/u2d-sys-9.708006-709003.tgz.gpg

  • md5 sum is d11a09401290cb1c9b475dfc22e82bc0:

https://download.astaro.com/UTM/v9/up2date/u2d-sys-9.708006-709003.tgz.gpg.md5

  • در مرحله دوم، شرکت سوفوس بسته بروزرسانی را از طریق سرورهای Up2Date خود برای بعضی مدل‌هایUTM، در دسترس قرار خواهد داد.
  • در مرحله سوم، شرکت سوفوس بسته بروزرسانی را از طریق سرورهای Up2Date خود برای تمام مدل‌هایUTM، در دسترس قرار خواهد داد.

 

جزئیات نسخه جدید ۹.۷۰۹ و فهرست اشکالات ترمیم شده در نشانی‌های زیر قابل دریافت و مطالعه می‌باشد.

https://community.sophos.com/utm-firewall/b/blog/posts/utm-up2date-9-709-released

https://newsroom.shabakeh.net/23539/utm-up2date-9-709-released.html

 

اس‌ای‌پی

 

اس‌ای‌پی (SAP SE) نیز در 17 اسفند 1400 با انتشار مجموعه‌اصلاحیه‌هایی، 18 آسیب‌پذیری را در چندین محصول خود برطرف کرد. شدت شش مورد از این ضعف‌های امنیتی 10 از 10 و یک مورد 9.3 از 10 (بر طبق استانداردCVSS) گزارش شده است. توصیه می‌شود با مراجعه به نشانی زیر، بروزرسانی مربوطه هر چه سریع‌تر اعمال شود:  

https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10

 

دروپـال

 

25 اسفند ماه، جامعه دروپال (Drupal Community) با عرضه بروزرسانی‌های امنیتی، ضعف‌های امنیتی با شناسه‌‌های CVE-2022-24728 و                CVE-2022-24729 اصلاح کرد. سوءاستفاده از بعضی از این آسیب‌پذیری‌ها مهاجم را قادر به در اختیار گرفتن کنترل سامانه می‌کند. توضیحات کامل در این خصوص در نشانی‌ زیر قابل دسترس است.

https://www.drupal.org/sa-core-2022-005

 

اپن-‌اس‌اس‌ال

 

24 اسفند ماه، بنیاد اپن-‌‌اس‌اس‌ال (.OpenSSL Foundation, Inc) با عرضه بروزرسانی‌های امنیتی، ضعف‌های امنیتی متعددی را در نسخه‌های 1.0.2، 1.1.1 و 3.0 نرم‌افزار OpenSSL ترمیم نموده است. با نصب این بروزرسانی‌، نسخه نرم‌افزار OpenSSL نگارش 1.0.2 به 1.0.2zd، نگارش‌ 1.1.1 به 1.1.1n و نگارش‌ 3.0 به 3.0.2 تغییر خواهند کرد. سوءاستفاده از بعضی از این آسیب‌پذیری‌ها مهاجم را قادر به “از کاراندازی سرویس” می‌کند. از این رو توصیه می‌شود که راهبران امنیتی در اولین فرصت نسبت به ارتقاء این نرم‌افزار اقدام کنند. توضیحات کامل در این خصوص در نشانی‌ زیر قابل دسترس است.

https://www.openssl.org/news/secadv/20220315.txt

 

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *