В Nortek Linear eMerge E3 Series обнаружена критическая уязвимость
Для предотвращения возможной эксплуатации уязвимости злоумышленниками необходимо установить обновление.
В Linear eMerge E3 Series от итальянской компании Nortek исправлена критическая уязвимость , позволяющая удаленно выполнить код с повышенными привилегиями и получить полный контроль над сервером. Проблема затрагивает версию продукта V0.32-07e и более ранние.
Уязвимость CVE-2017-5439 связана с некорректной нейтрализацией используемых в команде специальных элементов. Ее можно проэксплуатировать удаленно, а для успешного осуществления атаки не требуются особые навыки. По системе оценки CVSS v3 проблема получила 9,8 балла.
Для минимизации рисков, связанных с возможными атаками, рекомендуется заблокировать доступ ко всем системам управления через интернет. Если это не представляется возможным, необходимо использовать актуальные версии VPN. Также рекомендуется защитить системы управления и удаленные устройства с помощью межсетевых экранов и изолировать их от корпоративной сети.
В настоящее время о существовании эксплоита для данной уязвимости неизвестно. Для предотвращения возможной эксплуатации уязвимости злоумышленниками необходимо установить соответствующее обновление.
Источник:
https://www.securitylab.ru/news/491604.php
В BGP-демоне Quagga исправлена критическая уязвимость
Также были исправлены уязвимости, которые могут привести к отказу в обслуживании и раскрытию информации.
Разработчики пакета свободного программного обеспечения для маршрутизации Quagga выпустили обновление Quagga 1.2.3 с исправлением нескольких опасных уязвимостей, которые могут привести к отказу в обслуживании (DoS), раскрытию информации и удаленному выполнению кода. Проблемы затрагивают BGP-демон (bpgd) Quagga.
Одной из наиболее серьезных уязвимостей является CVE-2018-5379 - проблема двойного освобождения области памяти, связанная с обработкой определенных сообщений UPDATE, содержащих список кластеров или неизвестные атрибуты. Уязвимость может привести к сбою bgpd и позволить удаленному злоумышленнику получить контроль над процессом и удаленно выполнить код.
Другая уязвимость CVE-2018-5381 может привести к бесконечной перезагрузке bgpd и отказу в обслуживании.
В Quagga 1.2.3 также исправлена уязвимость CVE-2018-5378, которая может привести к утечке конфиденциальных данных из процесса bgpd, а также вызвать отказ в обслуживании.
Quagga - пакет свободного программного обеспечения, поддерживающий протоколы динамической маршрутизации IP. Компьютер с установленным и сконфигурированным пакетом Quagga становится способен использовать множество различных протоколов динамической маршрутизации. В Quagga реализованы протоколы Open Shortest Path First (OSPF), Routing Information Protocol (RIP), Border Gateway Protocol (BGP) и Intermediate System to Intermediate System (IS-IS) для платформ на базе Unix, в частности Linux, Solaris, FreeBSD и NetBSD.
Источник:
https://www.securitylab.ru/news/491591.php
Для предотвращения возможной эксплуатации уязвимости злоумышленниками необходимо установить обновление.
В Linear eMerge E3 Series от итальянской компании Nortek исправлена критическая уязвимость , позволяющая удаленно выполнить код с повышенными привилегиями и получить полный контроль над сервером. Проблема затрагивает версию продукта V0.32-07e и более ранние.
Уязвимость CVE-2017-5439 связана с некорректной нейтрализацией используемых в команде специальных элементов. Ее можно проэксплуатировать удаленно, а для успешного осуществления атаки не требуются особые навыки. По системе оценки CVSS v3 проблема получила 9,8 балла.
Для минимизации рисков, связанных с возможными атаками, рекомендуется заблокировать доступ ко всем системам управления через интернет. Если это не представляется возможным, необходимо использовать актуальные версии VPN. Также рекомендуется защитить системы управления и удаленные устройства с помощью межсетевых экранов и изолировать их от корпоративной сети.
В настоящее время о существовании эксплоита для данной уязвимости неизвестно. Для предотвращения возможной эксплуатации уязвимости злоумышленниками необходимо установить соответствующее обновление.
Источник:
https://www.securitylab.ru/news/491604.php
В BGP-демоне Quagga исправлена критическая уязвимость
Также были исправлены уязвимости, которые могут привести к отказу в обслуживании и раскрытию информации.
Разработчики пакета свободного программного обеспечения для маршрутизации Quagga выпустили обновление Quagga 1.2.3 с исправлением нескольких опасных уязвимостей, которые могут привести к отказу в обслуживании (DoS), раскрытию информации и удаленному выполнению кода. Проблемы затрагивают BGP-демон (bpgd) Quagga.
Одной из наиболее серьезных уязвимостей является CVE-2018-5379 - проблема двойного освобождения области памяти, связанная с обработкой определенных сообщений UPDATE, содержащих список кластеров или неизвестные атрибуты. Уязвимость может привести к сбою bgpd и позволить удаленному злоумышленнику получить контроль над процессом и удаленно выполнить код.
Другая уязвимость CVE-2018-5381 может привести к бесконечной перезагрузке bgpd и отказу в обслуживании.
В Quagga 1.2.3 также исправлена уязвимость CVE-2018-5378, которая может привести к утечке конфиденциальных данных из процесса bgpd, а также вызвать отказ в обслуживании.
Quagga - пакет свободного программного обеспечения, поддерживающий протоколы динамической маршрутизации IP. Компьютер с установленным и сконфигурированным пакетом Quagga становится способен использовать множество различных протоколов динамической маршрутизации. В Quagga реализованы протоколы Open Shortest Path First (OSPF), Routing Information Protocol (RIP), Border Gateway Protocol (BGP) и Intermediate System to Intermediate System (IS-IS) для платформ на базе Unix, в частности Linux, Solaris, FreeBSD и NetBSD.
Источник:
https://www.securitylab.ru/news/491591.php