A SolarWinds javította a NATO által jelentett sérülékenységet

A SolarWinds több patchet is kiadott a magas súlyosságú sérülékenységek javítására a Serv-U és SolarWinds platformokon, ideértve egy hibát, amelyet a NATO egyik pentestere jelentett.

A 2024.2-es frissítés a SolarWinds Platformnak három sérülékenységét javítja. Az elsőt egy SWQL injekciós hiba, amely során a felhasználók lekérdezhetik a SolarWinds adatbázisát hálózati információkért. A sérülékenységet CVE-2024-28996 néven könyvelték.

Javították továbbá a platform webes konzolját érintő két biztonsági hibát is. A CVE-2024-28999 egy olyan sebezhetőség (race condition), amikor több szál egyidejűleg hozzáfér a megosztott adatokhoz és manipulálja azokat, ami váratlan és hibás eredményekhez vezet. A CVE-2024-29004 egy XSS sérülékenység, amely sikeres kihasználásához a támadóknak magas jogosultságokkal kell rendelkeznie, és felhasználói interakciókat kell eszközölniük. A cég közleménye szerint a sebezhetőségek a SolarWinds 2024.1 SR 1 és azt megelőző verziókat érintették, így a felhasználókat arra kérik, hogy frissítsék a szoftvert minél hamarabb.

Az update továbbá az Angular közepes súlyosságú hibáit, és 10 magas- illetve közepes súlyosságú hibát javított az OpenSSL-ben, melyek közül néhányat már 7 éve közöltek. Ezekből a hibákból számos kihasználása DoS-támadás állapotot idézne elő.

A techcég továbbá kiadta a CVE-2024-28995 magas súlyosságú, directory transversal sérülékenység hotfixét is. Ennek kihasználásával a támadók érzékeny adatokat olvashatnak a host gépen. A Serv-U 15.4.2 1-es hotfixe és a korábbi verziók, továbbá a Serv-U FTP szerver, a Serv-U Gateway és a Serv-U MFT szerver is érintett – a Serv-U 15.4.2 2-es hotfix javítja a hibákat, és kompatibilis mind Windows és Linux rendszerekkel egyaránt.

A SolarWinds nem említi, hogy bármely sebezhetőséget aktívan kihasználnák, de minden felhasználónak és adminnak tanácsolt minél előbb telepítenie a legújabb patcheket.

(securityweek.com)