Tilkynnt var um nokkra alvarlega veikleika í Helix Core Server hjá Perforce. Perforce Helix Core Server er notað fyrir hýsingu og umsýslu kóða af mörgum fyrirtækjum en þó einna helst í tölvuleikageiranum. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikarnir hafa verið lagfærðir
Alvarlegir veikleikar
CVE-2023-45849
Veikleikinn CVE-2023-45849 er með CVSSv3 skor upp á 9.8 og er alvarlegasti veikleikinn. Hann gerir óauðkenndum fjartengdum árásaraðila kleift að keyra kóða (e. unauthenticated remote code execution) sem LocalSystem, sem er notandi með aukin réttindi í Windows stýrikerfinu. Ef veikleikinn er misnotaður geta árásaraðilar sett inn bakdyr, nálgast viðkvæmar upplýsingar, breytt kerfisstillingum eða tekið fulla stjórn á kerfinu.
CVE-2023-5759
Veikleikinn CVE-2023-5759 með CVSSv3 skor upp á 7.5 gerir ógnaraðila kleift að framkvæma álagsárás með því að breyta RPC hausnum (e. RPC header abuse).
CVE-2023-35767 og CVE-2023-45319
Veikleikarnir CVE-2023-35767 og CVE-2023-45319 eru báðir með CVSSv3 skor upp á 7.5 og gera ógnaraðila kleift að framkvæma álagsárás í gegnum fjarstýrðar skipanir [1,2].
Eftirfarandi kerfi eru veik fyrir göllunum:
Perforce Helix Core Server: Allar útgáfur fyrir 2023.1/2513900
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
Perforce Helix Core Server: 2023.1/2513900
Tilvísanir: