TIN TỨC VỀ CÁC LỖ HỔNG MỚI TRONG TUẦN

Một số lỗ hổng mới được phát hiện trong tuần qua, khuyến nghị người dùng cập nhật phần mềm lên phiên bản mới nhất.

1. Apache Tomcat

CVE-2024-38286: Lỗ hổng phát sinh từ cách Tomcat xử lý quá trình bắt tay TLS trong các cấu hình nhất định. Kẻ tấn công có thể khai thác lỗ hổng này để gây ra OutOfMemoryError, làm crash máy chủ và làm gián đoạn mọi dịch vụ dựa vào nó.

Khuyến nghị người dùng cập nhật phiên bản mới nhất.

2. Cisco Smart Licensing Utility

CVE-2024-20439 (CVSS: 9.8): Lỗ hổng bắt nguồn từ thông tin xác thực người dùng tĩnh được nhúng trong Smart Licensing Utility của Cisco. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách sử dụng mật khẩu tĩnh được cấu hình sẵn, cho phép chúng đăng nhập bằng đặc quyền quản trị qua API CSLU. Kiểu truy cập này có thể cho phép kẻ tấn công kiểm soát ứng dụng, thao túng dữ liệu cấp phép hoặc thậm chí sử dụng hệ thống làm bệ phóng cho các cuộc tấn công tiếp theo trong mạng.

Lỗ hổng ảnh hưởng đến Cisco Smart Licensing Utility phiên bản 2.0.0, 2.1.0, và 2.2.0.

Khuyến nghị người dùng cập nhật bản vá mới nhất.

3. Proxmox

CVE-2024-21545 (CVSS: 8.2): Lỗ hổng nằm trong thành phần libpve-http-server-perl, trong một số điều kiện nhất định, cho phép người dùng được xác thực với đặc quyền 'Sys.Audit' hoặc 'VM.Monitor' thao tác các phản hồi API để thao túng các đường dẫn tệp tùy ý, dẫn đến tải xuống trái phép.

Lỗ hổng ảnh hưởng đến nhiều phiên bản khác nhau Proxmox VE (versions 6 đến 8) và Proxmox Mail Gateway (versions 6 đến 8).

Khuyến nghị người dùng cập nhật phiên bản mới nhất.

Nguồn: securityonline. info

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

  • Điện toán đám mây.

  • Mạng phân phối nội dung

  • Giám sát an toàn thông tin mạng.

  • Bảo vệ an toàn thông tin đầu cuối.

  • Sao lưu, phục hồi dữ liệu.

  • Diễn tập phòng chống tấn công mạng.

  • Kiểm tra, đánh giá an toàn thông tin mạng.

  • Đào tạo an toàn thông tin.

  • Dịch vụ khác:

    • Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
    • Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ: