Проблемы содержатся в реализациях lighttpd и OpenSSH.
Компания Hewlett Packard Enterprise (HPE) выпустила патчи, исправляющие ряд уязвимостей в решении HPE Remote Device Access: Virtual Customer Access System (vCAS), предназначенном для предоставления удаленной поддержки. Проблемы содержатся в реализациях lighttpd и OpenSSH.
Согласно предупреждению производителя, уязвимость CVE-2015-3200 затрагивает версии lighttpd до 1.4.36. Проблема позволяет удаленному пользователю обойти ограничения безопасности. Уязвимость существует из-за некорректной проверки подлинности входных данных. Удаленный атакующий может внедрить сторонние данные в лог-файл.
Уязвимости CVE-2016-0777 и CVE-2016-0778 существуют из-за множественных ошибок в OpenSSH и затрагивают все версии до 7.1p2. Проблемы позволяют удаленно раскрыть важные данные и обойти ограничения безопасности.
По словам специалистов HPE, все вышеуказанные уязвимости могут быть проэксплуатированы удаленно. Злоумышленник может вызвать отказ в обслуживании, модифицировать данные или раскрыть важную информацию.
Также доступны отдельные патчи для систем vCAS, работающих на виртуальных машинах Oracle VirtualBox и VMware.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале