Tilkynnt var um nokkra alvarlega veikleika í MTA hjá Exim, NiFi hjá Apache og libvpx hjá Google og Mozilla. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.
Exim MTA
Exim tilkynnti um sex veikleika þar af þrjá mjög alvarlega. Veikleikinn CVE-2023-42115 með CVSSv3 skor uppá 9.8 gerir ógnaraðila kleift að fjarkeyra kóða (e. remote code execution) án auðkenningar á berstæðum netþjónum. En sá veikleiki er til staðar í öllum útgáfum af Exim póstflutningshugbúnaði (e. mail transfer agent). Veikleikarnir CVE-2023-42116 og CVE-2023-42117 eru báðir með með CVSSv3 skor upp á 8.1 og gera ógnaraðila kleift að fjarkeyra kóða án auðkenningar. [1,2]
Apache NiFi
Veikleikinn CVE-2023-34468 með CVSSv3 skor uppá 8.8 gerir ógnaraðila kleift að fjarkeyra kóða (e. remote code execution). [3,4]
libvpx
Veikleikinn CVE-2023-5217 með CVSSv3 skor uppá 8.8 gerir fjartengdum ógnaraðila kleift að framkvæma veilubragð á hrúgubiðminni (e. exploit heap corruption) með sérútbúnu HTML skjali. Ógnaraðilar eru núþegar farnir að nýta sér veikleikann. Libvpx er ekki eingöngu notað í Google Chrome heldur einnig í Firefox, Thunderbird og öðrum vinsælum vöfrum ásamt einhverjum snjallforritum fyrir síma. [5,6]
Eftirfarandi kerfi eru veik fyrir göllunum:
Exim MTA: Allar útgáfur
Apache NiFi: 0.0.2 til og með 1.21.0
Google Chrome: Allar útgáfur fyrir 117.0.5938.132
Firefox: Allar útgáfur fyrir 118.0.1
Firefox ESR: Allar útgáfur fyrir 115.3.1
Firefox og Firefox Focus for Android: Allar útgáfur fyrir 118.1
Thunderbird: Allar útgáfur fyrir 115.3.1
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
Exim MTA: 4.96.1, 4.97
Apache NiFi: 1.22.0
Google Chrome: 117.0.5938.132
Firefox: 118.0.1
Firefox ESR: 115.3.1
Firefox og Firefox Focus for Android: 118.0.1
Thunderbird: 115.3.1
Tilvísanir:
[1] https://www.bleepingcomputer.com/news/security/millions-of-exim-mail-servers-exposed-to-zero-day-rce-attacks/
[2] https://exim.org/static/doc/security/CVE-2023-zdi.txt
[3] https://www.cyfirma.com/outofband/apache-nifi-cve-2023-34468-rce-vulnerability-analysis-and-exploitation/
[4] https://nifi.apache.org/security.html#CVE-2023-34468
[5] https://www.mozilla.org/en-US/security/advisories/mfsa2023-44/
[6] https://www.bleepingcomputer.com/news/security/google-fixes-fifth-actively-exploited-chrome-zero-day-of-2023/