Nowe aktualizacje od IBM

cert.pse-online.pl 2 lat temu
ProduktIBM Sterling Connect:Direct Web Services: 6.0.0, 6.0.0.1, 6.0.0.2, 6.0.0.3, 6.0.0.4, 6.0.0.5, 6.0.0.6, 6.0.0.7, 6.0.0.8, 6.1.0, 6.1.0.1, 6.1.0.2, 6.1.0.3, 6.1.0.4, 6.1.0.5, 6.1.0.6, 6.1.0.7, 6.1.0.8, 6.1.0.9, 6.1.0.10, 6.1.0.11, 6.1.0.12, 6.2.0, 6.2.0.1, 6.2.0.2, 6.2.0.3, 6.2.0.4, 6.2.0.5, 6.2.0.6, 6.2.0.7
CVECVE-2022-1552
Krytyczność5.4 /10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
OpisLuka wynika z niepoprawnie nałożonych ograniczeń zabezpieczeń w funkcjach Autovacuum, REINDEX, CREATE INDEX, REFRESH MATERIALIZED VIEW, CLUSTER i pg_amcheck. Zdalnie uwierzytelniony użytkownik z uprawnieniami do tworzenia obiektów innych niż tymczasowe może wykonywać dowolne funkcje SQL z tożsamością superużytkownika i eskalować uprawnienia w aplikacji.
AktualizacjaTAK
Linkhttp://www.ibm.com/blogs/psirt/security-bulletin-ibm-connectdirect-web-services-vulnerable-to-remote-security-bypass-due-to-postgresql-cve-2022-1552/ http://www.ibm.com/support/pages/node/6615005
ProduktIBM Robotic Process Automation: przed 21.0.3
CVECVE-2022-27782
Krytyczność5.3 /10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
OpisLuka wynika ze sposobu, w jaki libcurl obsługuje poprzednio używane połączenia w puli połączeń dla kolejnych transferów. Kilka ustawień TLS i SSH zostało pominiętych podczas sprawdzania zgodności konfiguracji, co skutkuje błędnymi dopasowaniami dla różnych zasobów. W rezultacie libcurl może wysyłać ciąg uwierzytelniający z jednego zasobu do drugiego, ujawniając dane uwierzytelniające stronie trzeciej.
AktualizacjaTAK
CVECVE-2022-27774
Krytyczność6.5 /10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
OpisLuka wynika z prób curl podążania za przekierowaniami podczas procesu uwierzytelniania i nie traktuje różnych numerów portów lub protokołów jako oddzielnych celów uwierzytelniania. jeżeli aplikacja internetowa wykona przekierowanie na inny numer portu protokołu, cURL zezwoli na takie przekierowanie i przekaże dane uwierzytelniające. W ten sposób może również ujawnić dane uwierzytelniające TLS SRP.
AktualizacjaTAK
CVECVE-2022-22576
Krytyczność7.4 /10
CVSSAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
OpisZdalny atakujący może wykorzystać tę lukę w aplikacjach przeznaczonych do użytku w środowiskach wielu użytkowników, aby ominąć uwierzytelnianie i uzyskać nieautoryzowany dostęp do kont ofiary.
AktualizacjaTAK
CVECVE-2022-23267 CVE-2022-29117 CVE-2022-29145
Krytyczność7.5 /10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
OpisOsoba atakująca zdalnie może przekazać do aplikacji specjalnie spreparowane dane wejściowe i przeprowadzić atak typu „odmowa usługi” (DoS).
AktualizacjaTAK
CVECVE-2021-4189
Krytyczność6.1 /10
CVSSAV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
OpisZdalny atakujący może skonfigurować fałszywy serwer FTP, nakłonić klienta FTP w Pythonie do połączenia się z podanym adresem IP i portem, co może prowadzić do skanowania portów klienta FTP, co w innym przypadku nie byłoby możliwe.
AktualizacjaTAK
CVECVE-2021-3634
Krytyczność8.1 /10
CVSSAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisZdalny atakujący spowodować uszkodzenie pamięci podczas ponownej wymiany klucza i awarię aplikacji lub potencjalnie wykonać dowolny kod.
AktualizacjaTAK
Linkhttp://www.ibm.com/blogs/psirt/security-bulletin-multiple-vulnerabilities-may-affect-ibm-robotic-process-automation-for-cloud-pak/ http://www.ibm.com/support/pages/node/6615217
Idź do oryginalnego materiału