Beveiligingsadviezen van het NCSC
Kwetsbaarheden in verschillende implementaties van HTTP/2 kunnen door een kwaadwillende worden misbruikt om een Denial-of-Service te veroorzaken. Naast webservers kunnen ook CDN's (content delivery networks) of cloud-diensten kwetsbaar zijn.
LibreOffice heeft updates uitgebracht om een aantal kwetsbaarheden te verhelpen. De kwetsbaarheden zijn door security-onderzoekers ontdekt en stelt hen in staat om de eerder gepubliceerde kwetsbaarheid met kenmerk CVE-2018-16858 alsnog te misbruiken. Voor deze kwetsbaarheid is eerder een beveiligingsadvies gepubliceerd (NCSC-2019-0098 dd 04/02/2019).
Misbruik van de kwetsbaarheden stelt een kwaadwillende in staat om willekeurige code uit te voeren met rechten van de gebruiker door een gebruiker op een kwetsbaar systeem te misleiden een malafide bestand te openen.
Fedora heeft kwetsbaarheden verholpen in Python. De kwetsbaarheid met kenmerk CVE-2019-10160 verhelpt een regressiekwetsbaarheid met kenmerk CVE-2019-9636. De laatstgenoemde kwetsbaarheid stelt een kwaadwillende op afstand in staat gevoelige informatie te verkrijgen zoals cookies en authenticatie-data. De kwaadwillende moet hiertoe het slachtoffer bewegen een malafide hyperlink te volgen.
IBM heeft kwetsbaarheden verholpen in WebSphere Application Server. De kwetsbaarheden stellen een geauthenticeerde kwaadwillende op afstand in de gelegenheid middels traversal data en filenames van het besturingssysteem zichtbaar te maken.
Er is een kwetsbaarheid verholpen in de kernel van Oracle Linux Enterprise. De kwetsbaarheid bevind zich in de vhost functionaliteit. Wanneer een lokale kwaadwillende op een guest-systeem foutieve buffer-descriptors weet door te geven aan de host terwijl er een virtual-machine-migratie gaande is, kan de kwaadwillende verhoogde rechten verkrijgen op het host-systeem.
Er zijn kwetsbaarheden verholpen in OpenLDAP. De kwetsbaarheden stellen een geauthentiseerde kwaadwillende op afstand in staat een beveiligingsmaatregel te omzeilen en om verhoogde rechten te verkrijgen. De kwetsbaarheden grijpen aan in de SASL-authenticatie en het rootDN-delegatiemechanisme.
De ontwikkelaars van GitLab hebben nieuwe versies uitgebracht van de Community Edition (CE) en Enterprise Edition (EE) van GitLab. De kwetsbaarheden stellen een kwaadwillende in staat aanvallen uit te voeren die leiden tot de volgende categorieën schade:
Cross-Site Scripting (XSS)
Denial-of-Service (DoS)
Omzeilen van authenticatie
Omzeilen van beveiligingsmaatregel
(Remote) code execution (Gebruikersrechten)
Toegang tot systeemgegevens
Verhoogde gebruikersrechten
