最近幾天有許多漏洞相關的消息揭露,其中有一起引起資安圈的高度關注,原因是透露此事的研究人員指出,漏洞的CVSS風險評分達到了9.9,而且,這樣的漏洞存在於Unix與Linux普遍內建的列印系統CUPS當中,可能有數十萬臺設備曝險。
這樣的情況,一度有人認為可能會造成類似Log4Shell的危機,而使得資安圈不敢掉以輕心。
【漏洞與修補】
Unix與Linux普遍內建的列印系統CUPS存在9.9分重大漏洞,攻擊者有機會遠端執行任意程式碼
資安研究人員Simone Margaritelli指出,Unix通用列印系統(Common UNIX Printing System,CUPS)存在一系列的漏洞,攻擊者有機會從遠端連入具有此弱點的Unix或Linux系統,執行任意程式碼,並透露問題出在CUPS有CVSS風險評分達到9.9的漏洞,相當危險。由於CUPS廣泛運用於Linux及Unix作業系統,這批漏洞有可能帶來相當大的危害。
研究人員發現,如果電腦或伺服器啟用了cups-browsed處理程序,攻擊者就能監聽UDP連接埠631埠,並且到這些系統當中,建立PostScript印表機描述檔案(PPD)的惡意印表機,手動連接啟用該服務的電腦。
如此一來,攻擊者就能從遠端進行惡意印表機的部署,若使用者利用這臺印表機進行列印,攻擊者的惡意指令就會在Unix或Linux本機系統執行。
軟體業者Progress發布9月份安全更新,推出24.0.1版網路管理軟體WhatsUp Gold,修補多項高風險漏洞。
值得留意的是,本次公告內容只提及漏洞名稱、CVSS風險評分、通報人員身分。這6項漏洞中,CVE-2024-8785及CVE-2024-46909為CVSS評分達到9.8的重大層級漏洞,分別源自Tenable和趨勢科技研究人員通報。其餘4項漏洞CVE-2024-46905、CVE-2024-46906、CVE-2024-46907及CVE-2024-46908皆為CVSS評分8.8的高風險漏洞,由趨勢科技ZDI研究人員通報。
9月24日HPE Aruba Networking發布資安公告,該公司旗下的Wi-Fi基地臺存在重大漏洞CVE-2024-42505、CVE-2024-42506、CVE-2024-42507,影響執行Instant AOS-8與AOS 10作業系統的網路設備,這些漏洞出現在Aruba的基地臺管理通訊協定(Aruba's Access Point management protocol,PAPI),為命令注入漏洞,攻擊者可用來遠端執行任意命令,CVSS風險評分達到9.8。
這些命令注入漏洞存在於命令列介面(CLI)服務,攻擊者可在未通過身分驗證的情況下,傳送特製封包到採用PAPI協定的UDP埠(8211埠),從而觸發上述弱點,一旦成功,攻擊者就能以特殊權限的使用者身分,於作業系統底層執行任意程式碼。
Nvidia容器工具包存在重大漏洞,逾三分之一雲端環境恐曝險
資安業者Wiz揭露位於Nvidia Container Toolkit的安全漏洞CVE-2024-0132,它允許駭客突破容器的隔離限制而存取主機,CVSS風險評為9.0分,Nvidia亦發布1.16.2版修補。
CVE-2024-0132為時間檢查與時間使用(TOCTOU)漏洞,發生在檢查資源狀態與使用該資源間的時間差中,在預設的配置下執行特定的容器映像檔就會觸發該漏洞,允許駭客存取主機的檔案系統,成功的利用可導致程式執行、服務阻斷攻擊、權限擴張、資訊揭露或是竄改資料等行為。
有鑑於Nvidia為全球最大的顯示晶片供應商,Wiz估計,全球有33%的雲端環境都安裝了Nvidia Container Toolkit而可能曝險。
9月26日雲端服務基礎設施自動化業者HashiCorp發布資安公告,指出旗下的機敏資訊(secrets)管理工具Vault存在高風險漏洞CVE-2024-7594,同時影響社群版(Community Edition)與企業版(Enterprise),對此,他們發布社群版1.17.6,以及企業版1.17.6、1.16.10、1.15.15予以修補。
這項漏洞發生的原因,在於SSH機敏資訊引擎的valid_principals列表預設不須具備任何參數,一旦valid_principals及default_user欄位尚未設定,任何得到授權的使用者請求的SSH憑證,將能對任何本機使用者進行身分驗證,CVSS風險評分為7.7。
其他漏洞與修補
◆Proxmox虛擬化平臺、郵件安全閘道的API存在高風險漏洞
【資安產業動態】
非營利的歐洲數位人權中心None of Your Business(NOYB)向奧地利資料保護機構(DSB)投訴,指控Mozilla基金會在Firefox瀏覽器中內建的隱私保護歸因(Privacy Preserving Attribution,PPA)在未取得使用者同意之前便預設啟用,違反GDPR。
NOYB認為,Mozilla企圖在不於各個網站蒐集個人資料的情況下衡量廣告效果,但事實上,有部分的追蹤能力直接轉移到Firefox上,雖然相較於在美國常見的無限追蹤,PPA的侵入性較小,但根據GDPR,它依然侵犯了使用者的權利,因為它並沒有取得使用者的明確同意。
近期資安日報
熱門新聞
2024-10-05
2024-10-07
2024-10-07
2024-10-07
2024-10-07
2024-10-07
2024-10-07