Fortinet, SAP, Ivanti og Adobe hafa gefið út mánaðarlega uppfærslur vegna fjölda veikleika. Citrix hefur gefið út uppfærslu fyrir Virtual Apps og Desktop vegna tveggja veikleika. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikarnir hafa verið lagfærðir.
Alvarlegir veikleikar (e. critical)
Fortinet
Fortinet hefur gefið út uppfærslur vegna 11 veikleika og eru 2 þeirra merktir sem alvarlegir [1]. Veikleikarnir sem flokkaðir eru sem alvarlegir eru CVE-2024-23666 í FortiAnalyzer og CVE-2023-50176 í FortiOS, báðir eru með CVSSv3 veikleikastig upp á 7.1 [2,3].
SAP
SAP hefur gefið út uppfærslur vegna 8 veikleika í heildina, og eru einn þeirra merktur sem alvarlegur. Einnig gáfu þeir út uppfærslu á tveimur veikleikum sem komu út annarsvegar í maí og hinsvega í júlí [4]. Veikleikinn sem flokkaður er sem alvarlegur er CVE-2024-47590 í SAP Web Dispatcher og er með CVSSv3 veikleikastig upp á 8.8 [5].
Ivanti Endpoint Manager
Ivanti hefur gefið út uppfærslur vegna 18 veikleika í heildina, og eru 1 þeirra merktur sem mjög alvarlegur. Veikleikinn CVE-2024-50330 er með CVSSv3 veikleikastig upp á 9.8 og gerir ógnaraðila kleift að fjarkeyra kóða [6].
Adobe
Adobe hefur gefið út uppfærlu fyrir Adobe Commerce og Magento Open Source platforms, InDesign og Photoshop suites og Illustrator og Substance 3D Painter products vegna alvarlegra veikleika. Gefnar voru út uppfærslur vegna 48 veikleika í heildina [7].
Citrix
Citrix hefur gefið út uppfærslu vegna tveggja veikleika CVE-2024-8068 og CVE-2024-8069 og eru þeir báðir flokkaðir sem miðlungs alvarlegir. Til þess að mistnota veikleikann þarf ógnaraðili að vera auðkenndur sem veldur því að CVSSv3 veikleikastigið er einungis 5.1. Citrix hefur verið gagnrýnt fyrir lágt veikleikastig það sem talið er að aðeins þufi einn smell fyrir árásaraðila til að öðlst fulla stjórn á kerfi (e. point-click-full-takeover) [8].
Tilvísanir
[1] https://www.fortiguard.com/psirt
[2] https://www.fortiguard.com/psirt/FG-IR-23-396
[3] https://www.fortiguard.com/psirt/FG-IR-23-475
[4] https://support.sap.com/en/my-support/knowledge-base/security-notes-news/november-2024.html
[5] https://www.cve.org/CVERecord?id=CVE-2024-47590
[6] https://forums.ivanti.com/s/article/Security-Advisory-EPM-November-2024-for-EPM-2024-and-EPM-2022?language=en_US&_gl=1*pchng3*_gcl_au*ODM2NTAyMzg1LjE3MjY2NjkwMTg
[7] https://www.securityweek.com/patch-tuesday-critical-flaws-in-adobe-commerce-photoshop-indesign-illustrator/
[8] https://thehackernews.com/2024/11/new-flaws-in-citrix-virtual-apps-enable.html
