Beveiligingsadviezen van het NCSC
Onderzoekers hebben een kwetsbaarheid ontdekt in een aantal DNS-implementaties. De onderzoekers hebben de kwetsbaarheid de naam SAD DNS gegeven, een acroniemm voor Side-channel AttackeD DNS. Deze kwetsbaarheid heeft inmiddels CVE kenmerk CVE-2020-25705 gekregen. De kwetsbaarheid stelt een kwaadwillende in staat om internetverkeer van een slachtoffer te routeren naar de server van de kwaadwillende. De kwaadwillende kan daardoor een man-in-the-middle positie bemachtigen.
Er is een kwetsbaarheid verholpen in Drupal core. Drupal core handelt sommige bestandsnamen niet correct af. Hierdoor is het mogelijk dat bestanden verkeerd worden geïnterpreteerd en worden uitgevoerd onder een verkeerd MIME-type of uitgevoerd worden als PHP. Dit geldt voor een aantal configuraties, welke dit zijn wordt in het advies van Drupal niet genoemd. De ontwikkelaars van Drupal geven deze kwetsbaarheid het label "Critical".
Er is een kwetsbaarheid verholpen in MIT Kerberos. Een kwaadwillende kan de kwetsbaarheid misbruiken om een Denial-of-Service te veroorzaken. De kwetsbaarheid zit in de wijze waarop ASN.1 data wordt verwerkt, waardoor een oneindige lus kan ontstaan welke een crash veroorzaakt in het Kerberos-proces.
Er zijn meerdere kwetsbaarheden verholpen in PostgreSQL. Een lokale kwaadwillende met beperkte rechten binnen de kwetsbare PostgreSQL-database, kan de kwetsbaarheden mogelijk misbruiken om binnen de database of op het lokale systeem willekeurige code uit te voeren met root-rechten. Tevens maken de kwetsbaarheden het voor de kwaadwillende mogelijk om toegang te verkrijgen tot de in de database opgeslagen gegevens.
Er zijn kwetsbaarheden verholpen in JQuery zoals gebruikt door Zimbra. Een kwaadwillende kan de kwetsbaarheden misbruiken voor het uitvoeren van een Cross-Site Scripting (XSS) aanval. Een dergelijke aanval kan leiden tot de uitvoer van willekeurige scriptcode in de browser waarmee de applicatie wordt bezocht.
Er zjjn meerdere kwetsbaarheden verholpen in Google Android. De kwetsbaarheden stellen een kwaadwillende (al dan niet op afstand) mogelijk in staat aanvallen uit te voeren die leiden tot de volgende categorieën schade:
(Remote) code execution (Gebruikersrechten)
Toegang tot gevoelige gegevens
Toegang tot systeemgegevens
Verhoogde gebruikersrechten
Er zijn meerdere kwetsbaarheden verholpen in Google Android. De kwetsbaarheden stellen een kwaadwillende (al dan niet op afstand) mogelijk in staat aanvallen uit te voeren die leiden tot de volgende categorieën schade:
(Remote) code execution (Gebruikersrechten)
Omzeilen van beveiligingsmaatregel
Denial-of-Service (DoS)
Verhoogde gebruikersrechten
