EN

Tilkynna atvik

EN

Tilkynna atvik
  • Frettasafn
  • /
  • frett
  • /
  • Fréttir
  • Alvarlegir veikleikar í VMware, Wyze cam, Kubernetes og Chrome

Alvarlegir veikleikar í VMware, Wyze cam, Kubernetes og Chrome

Tilkynnt var um nokkra alvarlega veikleika í VMware tools hjá VMware, v3 hjá Wyze cam, NGINX Ingress Controller hjá Kubernetes og Chrome hjá Google. CERT-IS mælir með að uppfært í útgáfu þar sem veikleikinn hefur verið lagfærður og útfæra mótvægisaðgerðir eins fljótt og auðið er.

Alvarlegir veikleikar (e. critical)

VMware tools

VMware hefur tilkynnt um tvo alvarlega veikleika í VMware tools. Veikleikarnir CVE-2023-34057 og CVE-2023-34058 eru með CVSSv3 veikleikastig upp á 7.5 og 7.8. Veikleikarnir gera ógnaraðila með staðbundin gestaaðgang kleift að auka réttindi sín innan sýndarvélar og taka yfir viðkomandi kerfi. Fyrri veikleikinn á við MacOS og sá seinni við Windows [1].

Wyze cam v3

Öryggissérfræðingur hefur gefið út kóða (e. proof-of-concept) til að koma fyrir fjarstýrðri skel (e. remote shell) á búnaði sem hægt er að nýta til þess að komast inn á önnur tæki á sama neti [2].

NGINX Ingress Controller

Tilkynnt var um þrjá veikleika í NGINX Ingress Controller, CVE-2022-4886, CVE-2023-5043 og CVE-2023-5044 með CVSSv3 veikleikastig á milli 7.6 og 8.8. Misnotkun á veikleikunum gerir ógnaraðila með réttindi til þess að breyta stillingum kleift að stela skilríkjum (e. secret credentials) úr klasanum (e. cluster). Ásamt því að uppfæra þarf einnig að virkja –enable-annotation-validation flaggið [3].

Chrome

Veikleikinn CVE-2023-5472 hefur ekki fengið CVSSv3 veikleikastig en er flokkað sem alvarlegur gerir ógnaraðila kleift að fjarkeyra keyra kóða í gegnum sérútbúið HTML skjal [4].

Eftirfarandi kerfi eru veik fyrir gallanum

VMware tools

12.x.x, 11.x.x. og 10.3.x

Wyze cam

4.36.10.4054, 4.36.11.4679 og 4.36.11.5859

NGINX Ingress Controller

< 1.19

Chrome

< 118.0.5993.117

Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum

VMware tools

12.1.1 fyrir macOS
12.3.5 fyrir Windows

Wyze cam

4.36.11.7071

NGINX Ingress Controller

1.19

Chrome

118.0.5993.117

Tilvísanir

[1] https://www.vmware.com/security/advisories/VMSA-2023-0024.html
[2] https://www.bleepingcomputer.com/news/security/rce-exploit-for-wyze-cam-v3-publicly-released-patch-now/
[3] https://thehackernews.com/2023/10/urgent-new-security-flaws-discovered-in.html
[4] https://www.darkreading.com/dr-global/uae-cyber-council-warns-google-chrome-vulnerability

Facebook Twitter Linkedin Google-plus-g Pinterest Envelope
  • Sími:
  • Netfang:
  • Heimilisfang:
  • PGP:
  • PGP fingrafar
  • BF14 84D3 1D39 9C9F 2C70 9054 3938 E161 13E9 308B
  • © Netöryggissveitin
  • Kt.: 570397-2499 (Fjarskiptastofa)

Persónuverndarstefna

Scroll to Top

Um okkur

Fréttir og útgefið efni

Leiðbeiningar í atvikum