Tilkynnt var um nokkra alvarlega veikleika í libcue og í HTTP/2. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður ef uppfærslur eru til staðar.
Alvarlegir veikleikar (e. critical)
GNOME GNU/Linux kerfi – libcue
Veikleikinn CVE-2023-43641 með CVSSv3 skor upp á 8.8 [1] gerir ógnaraðila kleift að keyra upp kóða með sömu réttindum og notandi ef notandinn niðurhalar skrá með „.cue“ endingu sem er lesin af libcue. Veikleikinn á sér stað í libcue [2] sem er forritunarsafn notað til að lesa CUE skjöl og er notað af öðrum tólum í t.d. GNOME [3] sem er skjáviðmót í ýmsum GNU/Linux stýrikerfum eins og Ubuntu [4,5]. Nálgast má ítarlegri upplýsingar í [4].
HTTP/2
Veikleikinn CVE-2023-44487 með óskilgreint CVSSv3 skor gerir ógnaraðila kleift að valda álagsárás gagnvart þjónustum sem bjóða upp á HTTP/2 gagnvart sér. Það gætu komið eða verið komnar uppfærslur fyrir ýmsar vörur/vefþjóna til að sporna gegn þessum veikleika en annars er hægt að lesa í gegnum blogg frá t.d., Cloudflare og Google til að fá hugmyndir um hvernig þessi árás virkar og hvað sé hægt að gera til að minnka áhrif [6,7,8].
Eftirfarandi kerfi eru veik fyrir göllunum:
libcue: <= 2.2.1
HTTP/2: Ýmis kerfi eins og vefþjónar sem bjóða upp á HTTP/2 tengingar
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
libcue: > 2.2.1, það geta hins vegar verið útgáfur af 2.2.1 sem hafa verið lagfærðar eins og sjá má hjá Ubuntu [9] og Gentoo [10]
HTTP/2: Mögulegar uppfærslur eða mótvægisaðgerðir til staðar
Tilvísanir:
[1] https://nvd.nist.gov/vuln/detail/CVE-2023-43641
[2] https://github.com/lipnitsk/libcue
[3] https://www.gnome.org/
[4] https://github.blog/2023-10-09-coordinated-disclosure-1-click-rce-on-gnome-cve-2023-43641/
[5] https://www.bleepingcomputer.com/news/security/gnome-linux-systems-exposed-to-rce-attacks-via-file-downloads/
[6] https://www.cve.org/CVERecord?id=CVE-2023-44487
[7] https://blog.cloudflare.com/technical-breakdown-http2-rapid-reset-ddos-attack/
[8] https://cloud.google.com/blog/products/identity-security/how-it-works-the-novel-http2-rapid-reset-ddos-attack
[9] https://ubuntu.com/security/CVE-2023-43641
[10] https://security.gentoo.org/glsa/202310-10
