Обзор уязвимостей за неделю: с 15 по 19 февраля 2021 года
19 февраля 2021 года
На этой неделе компания QNAP устранила критическую уязвимость в приложении Surveillance Station, эксплуатация которой позволяет злоумышленникам удаленно выполнять вредоносный код на сетевых хранилищах QNAP NAS с запущенным уязвимым ПО. Уязвимость ( CVE-2020-2501 ) затрагивает версии Surveillance Station старше 5.1.5.3.3, 5.1.5.4.3.
Разработчики OpenSSL выпустили исправления для трех уязвимостей в своем проекте, эксплуатация которых позволяет осуществлять атаки типа «отказ в обслуживании» (DoS) и MitM-атаки. Проблемы CVE-2021-23841 и CVE-2021-23840 были исправлены в версии OpenSSL 1.1.1j, а CVE-2021-23839 — в версии 1.0.2y.
В популярном наборе средств разработки Agora Video SDK, используемом многочисленными приложениями (включая eHarmony, Plenty of Fish, MeetMe, Skout Talkspace и Practo) была обнаружена уязвимость ( CVE-2020-25605 ), позволяющая скрыто наблюдать за приватными видео- и аудиозвонками. Проблема связана с ненадежным шифрованием и могла быть проэксплуатирована злоумышленниками для осуществления атак «человек посередине» и перехвата коммуникаций между участниками диалога. Уязвимость исправлена в версии Agora SDK 3.2.1.
На этой неделе также была обнаружена уязвимость в сетевом шлюзе Digi ConnectPort X2e, используемом в солнечных установках. В частности, Digi ConnectPort X2e содержит две уязвимости ( CVE-2020-9306 и CVE-2020-12878 ), которые злоумышленники могут использовать для получения доступа к домашней или корпоративной сети через уязвимое устройство. Первая связана с наличием вшитых учетных данных, а вторая представляет собой уязвимость повышения привилегий.
Техногигант Google устранил множественные уязвимости в своем браузере Chrome, почти все из которых позволяли удаленно выполнить код. Microsoft выпустила обновления для своего браузера Edge, разработанного на базе Chromium, также исправляющие эти проблемы.
Также сообщалось о множественных RCE-уязвимостях в ряде продуктов, в частности, в библиотеке libmaxminddb, Soar Cloud System HR Portal, ISC BIND, SPIP и пакете static-eval для npm (для этой уязвимости нет исправления).
Источники[править]
Эта статья содержит материалы из статьи «Обзор уязвимостей за неделю: с 15 по 19 февраля 2021 года», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.