Обзор уязвимостей за неделю: 9 октября 2020 года

Обзор уязвимостей за неделю: 9 октября 2020 года

Обнаружены проблемы в GLPI, Comtrol RocketLinx, Android, Chrome и пр.

image

Компания Google выпустила исправления для множества уязвимостей в своей операционной системе Android, включая две проблемы, связанные с повышением привилегий в компоненте System (CVE-2020-0215 ​​и CVE-2020-0416), ряд уязвимостей повышения привилегий и критические проблемы в чипах Qualcomm. В общей сложности техногигант устранил 48 уязвимостей в рамках октябрьского обновления.

Помимо Android, Google также исправила более двух десятков уязвимостей в своем браузере Chrome, наиболее опасные из которых могут быть использованы удаленным злоумышленником для выполнения произвольного кода на системе или получения доступа к конфиденциальной информации.

В маршрутизаторе Tenda AC15 AC1900 Smart Dual-Band Gigabit WiFi было обнаружено множество уязвимостей, эксплуатация которых может позволить удаленным злоумышленникам выполнить произвольные команды и получить полный доступ к системе. Исправления для данных проблем пока что не разработаны, а некоторые из уязвимостей (CVE-2018-14558 и CVE-2020-10987) уже использовались в реальных атаках .

Бесплатный пакет программного обеспечения для управления активами и IT GLPI содержит множество уязвимостей , в том числе две опасные проблемы (CVE-2020-15226 и CVE-2020-15176), позволяющие удаленному злоумышленнику выполнять произвольные SQL-запросы в базе данных.

В промышленных коммутаторах Comtrol RocketLinx от компании Pepperl+Fuchs были обнаружены опасные уязвимости ( CVE-2020-12500, CVE-2020-12501, CVE-2020-12502, CVE-2020-12503 и CVE-2020-12504 ). Эксплуатация некоторых из них позволяет получить полный контроль над устройством.

Бесплатный web-инструмент управления проектами с открытым исходным кодом qdPM содержит ряд уязвимостей , в том числе опасную проблему, позволяющую удаленному хакеру взломать уязвимую систему.

GitLab выпустил обновления для устранения множества проблем , затрагивающих GitLab Community Edition (CE) и Enterprise Edition (EE), которые позволяли повысить привилегии, удаленно выполнить команды, осуществлять межсайтовый скриптинг и атаки типа «отказ в обслуживании» (CVE-2020-13333). Некоторые уязвимости (CVE-2020-13332, CVE-2020-13335) могут использоваться удаленным злоумышленником для получения несанкционированного доступа к другим ограниченным функциям.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.