Beveiligingsadviezen van het NCSC
Er is een kwetsbaarheid verholpen in Docker die bij het gebruik van een malafide container mogelijk kan leiden tot het uitvoeren van willekeurige code op de host waar de container gestart wordt.
Er is een kwetsbaarheid verholpen in Docker. De kwetsbaarheid stelt een kwaadwillende in staat willekeurige code uit te voeren onder rechten van de Docker-user. De kwaadwillende moet hiertoe het slachtoffer bewegen een Docker-image te bouwen met behulp van een git-repository met malafide Docker-code.
Er zijn kwetsbaarheden verholpen in Python.
De kwetsbaarheden stellen een kwaadwillende in staat aanvallen uit te voeren die leiden tot de volgende categorieën schade:
* Denial-of-Service
* Manipulatie van gegevens
* Omzeilen van beveiligingsmaatregel
* Toegang tot gevoelige gegevens
* Toegang tot systeemgegevens
SAP heeft kwetsbaarheden verholpen in verschillende producten. De
kwetsbaarheden stellen een kwaadwillende in staat aanvallen uit te
voeren die leiden tot de volgende categorieën schade:
Cross-Site Scripting (XSS)
Server-side Request Forgery (SSRF)
Denial-of-Service (DoS)
Verhoogde gebruikersrechten
(Remote) code execution (Gebruikersrechten)
Toegang tot systeem gegevens
LibreOffice heeft updates uitgebracht om een aantal kwetsbaarheden te verhelpen. De kwetsbaarheden zijn door security-onderzoekers ontdekt en stelt hen in staat om de eerder gepubliceerde kwetsbaarheid met kenmerk CVE-2018-16858 alsnog te misbruiken. Voor deze kwetsbaarheid is eerder een beveiligingsadvies gepubliceerd (NCSC-2019-0098 dd 04/02/2019).
Misbruik van de kwetsbaarheden stelt een kwaadwillende in staat om willekeurige code uit te voeren met rechten van de gebruiker door een gebruiker op een kwetsbaar systeem te misleiden een malafide bestand te openen.
Tibco heeft een directory-traversal kwetsbaarheid verholpen in Jaspersoft Reporting. Een ongeauthenticeerde kwaadwillende op afstand kan deze kwetsbaarheid misbruiken om toegang te krijgen tot systeeminformatie en gevoelige gegevens.
De vinder van de kwetsbaarheid is in contact getreden met Tibco voor onderzoek en herstel en is recentelijk full disclosure gegaan, waardoor PoC code beschikbaar is en informatie rond de kwetsbaarheid publiek beschikbaar is gekomen.
De ontwikkelaars van Exim hebben een ernstige kwetsbaarheid verholpen.
De kwetsbaarheid bevindt zich in de wijze waarop TLS Handshakes worden verwerkt en is onafhankelijk van de onderliggende TLS/SSL implementatie.
Misbruik van de kwetsbaarheid stelt een ongeauthenticeerde kwaadwillende op afstand in staat om willekeurige code uit te voeren met root/systeemrechten.
