Nowe aktualizacje od IBM (P24-253)

cert.pse-online.pl 4 miesięcy temu
ProduktStorage Protect for Virtual Environments: Data Protection for VMware: wersje starsze niż 8.1.23.0
Numer CVECVE-2023-28322
Krytyczność4.6/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N/E:U/RL:O/RC:C
OpisLuka występuje z powodu błędu logicznego podczas wysyłania żądań HTTP POST i PUT przy użyciu tego samego uchwytu. Biblioteka libcurl może błędnie użyć wywołania zwrotnego odczytu (CURLOPT_READFUNCTION) w celu poproszenia o dane do wysłania, choćby gdy ustawiono opcję CURLOPT_POSTFIELDS, jeżeli ten sam uchwyt został wcześniej użyty do wysłania żądania PUT, które używało tego wywołania zwrotnego. W rezultacie aplikacja może zachowywać się nieprawidłowo i albo wysłać niewłaściwe dane, albo użyć pamięci po zwolnieniu lub podobnie w drugim transferze.
Numer CVECVE-2024-23807
Krytyczność8.5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka występuje z powodu błędu użycia po zwolnieniu w parserze XML podczas skanowania zewnętrznych DTD. Zdalny atakujący może przekazać specjalnie spreparowane dane wejściowe do aplikacji, wywołać błąd użycia po zwolnieniu i wykonać dowolny kod w systemie.
Numer CVECVE-2023-5363
Krytyczność3.2/10
CVSSAV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N/E:U/RL:O/RC:C]
OpisLuka występuje z powodu błędu podczas przetwarzania długości klucza i wektora inicjalizacji w funkcjach EVP_EncryptInit_ex2(), EVP_DecryptInit_ex2() i EVP_CipherInit_ex2(). Zdalny atakujący może uzyskać dostęp do potencjalnie poufnych informacji.
Numer CVECVE-2024-22329
Krytyczność6.3/10
CVSSAV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisUjawniona luka umożliwia zdalnemu atakującemu przeprowadzanie ataków SSRF. Luka istnieje z powodu niewystarczającej walidacji danych wejściowych dostarczonych przez użytkownika. Zdalny atakujący może wysłać specjalnie spreparowane żądanie HTTP i oszukać aplikację, aby zainicjowała żądania do dowolnych systemów.
Numer CVECVE-2024-25026
Krytyczność6.5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C
OpisLuka występuje, ponieważ aplikacja nie kontroluje prawidłowo zużycia zasobów wewnętrznych podczas obsługi żądań HTTP. Zdalny atakujący może wywołać wyczerpanie zasobów i przeprowadzić atak typu „odmowa usługi” (DoS).
Numer CVECVE-2023-38545
Krytyczność7.9/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C
OpisLuka występuje, ponieważ błąd graniczny w uzgadnianiu połączenia proxy SOCKS5. Zdalny atakujący może oszukać ofiarę, aby odwiedziła złośliwą witrynę, wywołać przepełnienie bufora sterty i wykonać dowolny kod w systemie docelowym.
Numer CVECVE-2023-28321
Krytyczność4.2/10
CVSSAV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka występuje z powodu nieprawidłowej walidacji certyfikatu podczas dopasowywania symboli wieloznacznych w certyfikatach TLS dla nazw IDN. Zdalny atakujący tworzy specjalnie spreparowany certyfikat, który będzie uważany za zaufany przez bibliotekę.
AktualizacjaTAK
Linkhttps://www.ibm.com/support/pages/node/7157929
Idź do oryginalnego materiału