A Linux kernel legújabb frissítései két jelentős sebezhetőséget orvosolnak a Xen hipervizorban. A javítások a stabil és korábbi verziókra is visszakerülnek, biztosítva a jobb védekezést a spekulatív támadások és más hibák ellen.

Két jelentős sebezhetőség megoldása

A Linux kernel fejlesztői ma integrálták a Xen hipervizor két biztonsági problémájának javításait:

Egy súlyos sérülékenységre derült fény a WPForms WordPress-bővítményben, amelyet több mint 6 millió weboldalon használnak. A probléma lehetővé teszi, hogy még alacsony szintű felhasználók is önkényesen kezdeményezzenek Stripe visszatérítéseket vagy lemondják előfizetéseket.

A Cisco hétfőn frissítette közleményét, melyben figyelmeztette ügyfeleit egy 10 éves biztonsági rés aktív kihasználására, amely az Adaptive Security Appliance (ASA) eszközt érinti. A sebezhetőséget, amelyet CVE-2014-2120 néven követnek nyomon, az ASA WebVPN bejelentkezési oldalán lévő nem megfelelő bemeneti ellenőrzés okozza. Ez lehetővé teheti egy hitelesítés nélküli, távoli támadó számára, hogy cross-site scripting (XSS) támadást hajtson végre az eszköz egy adott felhasználója ellen.

Az Intel Corporation (NASDAQ: INTC) ma bejelentette, hogy Pat Gelsinger vezérigazgató több mint 40 éves kiemelkedő karrier után nyugdíjba vonult, és 2024. december 1-jével lemondott az igazgatótanácsban betöltött pozíciójáról is. Az Intel ideiglenesen két felsővezetőt, David Zinsnert és Michelle (MJ) Johnston Holthaust nevezte ki társigazgatónak, míg az igazgatótanács új vezérigazgató keresésébe kezd. Zinsner jelenleg a vállalat ügyvezető alelnöke és pénzügyi igazgatója, míg Holthaus a frissen létrehozott Intel Products vezérigazgatói pozícióját tölti be.

Harmincnál is több sérülékenységet fedeztek fel különböző nyílt forráskódú mesterséges intelligencia (AI) és gépi tanulási (ML) modellekben, amelyek közül néhány távoli kódfuttatáshoz és információlopáshoz vezethet. A hibákat a ChuanhuChatGPT, Lunary és LocalAI eszközökben tárták fel, majd jelentették őket a Protect AI Huntr bug bounty platformján. A két legsúlyosabb hiba a Lunary-t érinti, ami egy nagy nyelvi modellek (LLM-ek) menedzseléséhez elkészített fejlesztői eszközkészlet.

Az X.Org Serverben közel két évtizede jelenlévő biztonsági rést (CVE-2024-9632) fedeztek fel, amely lehetőséget ad helyi jogosultsági szint emelésre és távoli kódfuttatásra. Az érintett rendszerek felhasználói számára kritikus fontosságú a legújabb frissítések telepítése.

Amint lehet, frissítsen! A CUPS (Common Unix Printing System) projekt új, súlyos biztonsági résekre hívta fel a figyelmet, amelyek távoli kódfuttatást (RCE - Remote Code Execution) tesznek lehetővé GNU + Linux rendszereken és számos Linux disztribúciót, köztük az Ubuntut és a Chrome OS-t is érinti. Ezek a sebezhetőségek lehetővé teszik, hogy támadók rosszindulatú IPP (Internet Printing Protocol) URL-eket juttassanak be, és nyomtatási műveletek során kártékony kódot futtassanak. A Canonical már kiadta a szükséges frissítéseket, amelyeket érdemes mielőbb telepíteni.

A Veeam 2024. szeptemberében számos termékéhez adott ki biztonsági frissítést, amellyel a Veeam Backup & Replication, a Service Provider Console és ONE szoftvercsomagok 18 súlyos és kritikus hibáját kezeli. A kezelt problémák közül a legsúlyosabb a CVE-2024-40711, amely a Veeam Backup & Replication (VBR) kritikus (CVSS v3.1 pontszám: 9.8) távoli kódfuttatást (RCE) lehetővé tévő sebezhetősége, amely hitelesítés nélkül is kihasználható.