Beveiligingsadviezen van het NCSC
Er is een nieuwe versie van OpenSLP uitgebracht, waarin twee kwetsbaarheden zijn verholpen. De kwetsbaarheid met kenmerk CVE-2019-5544 kan door een kwaadwillende met netwerktoegang tot poort 427 op een ESXi-host mogelijk de heap van de OpenSLP-service overschrijven, wat leidt tot uitvoering van externe code.
De kwetsbaarheid met kenmerk CVE-2017-17833 stelt een kwaadwillende in staat om willekeurige code uit te voeren onder de rechten van de gebruiker en om een Denial-of-Service te veroorzaken.
Onderzoekers hebben meerdere zero-day-fouten ontdekt in de realtime besturingssystemen (RTOS) van VxWorks voor ingebedde apparaten. De kwetsbaarheden leiden tot de volgende categorieën schade:
Remote code execution
Remote Denial-of-Service (DoS)
Toegang tot gevoelige gegevens
IBM heeft een kwetsbaarheid verholpen in WebSphere Application Server Liberty. De kwetsbaarheid betreft een zogenaamde Cross-Site Scripting-kwetsbaarheid. Een kwaadwillende kan de kwetsbaarheid misbruiken om willekeurige code uit te voeren onder rechten van de gebruiker. De kwaadwillende moet hiertoe het slachtoffer bewegen op een malafide hyper-link te klikken.
Fedora heeft de kwetsbaarheden in de kernel tot en met versie 5.3.15 verholpen. De kwetsbaarheden betreffen allemaal een lokale Denial-of-Service-kwetsbaarheid met uitzondering van de kwetsbaarheid met kenmerk CVE-2019-14901. De kwetsbaarheid met kenmerk CVE-2019-14901 stelt een ongeauthenticeerde kwaadwillende in staat om op afstand een Denial-of-Service te veroorzaken met mogelijk het uitvoeren van willekeurige code onder root-rechten tot gevolg. De kwetsbaarheid bevindt zich in de Marvell WiFi chip driver.
Oracle heeft diverse kwetsbaarheden verholpen in de Java SE. Een ongeauthenticeerde kwaadwillende op afstand kan de kwetsbaarheden misbruiken om een Denial-of-Service te veroorzaken, of om wijzigingen aan te brengen in gegevens die door de kwetsbare Java-omgeving kunnen worden benaderd.
De ontwikkelaars van proftp hebben kwetsbaarheden verholpen. De kwetsbaarheden stellen een kwaadwillende op afstand in staat een Denial-of-Service te veroorzaken. Het is voor de kwaadwillende niet nodig op het kwetsbare systeem te zijn ingelogd.
Trend Micro heeft kwetsbaarheden verholpen in Deep Security. De kwetsbaarheden stellen een lokale geauthenticeerde kwaadwillende in staat willekeurige bestanden te verwijderen en informatie te verkrijgen betreffende het StartTLS-LDAP-proces.
