Бесплатно Экспресс-аудит сайта:

11.07.2020

Обзор уязвимостей за неделю: 10 июля 2020 года

Компания Palo Alto Networks выпустила обновление безопасности, исправляющее опасную уязвимость ( CVE-2020-2034 ) в комплексном решении безопасности PAN-OS GlobalProtect. Уязвимость может быть использована неавторизованным злоумышленником для выполнения произвольных команд на системе с привилегиями суперпользователя. Поставщик также исправил несколько менее опасных проблем ( CVE-2020-2031 , CVE-2020-2030 и CVE-2020-1982 ), эксплуатация которых позволяет удаленному злоумышленнику дешифровать TLS-трафик, выполнить произвольные команды или осуществить DoS-атаки.

Компания Citrix исправила 11 уязвимостей в своих сетевых продуктах Citrix ADC, Citrix Gateway и Citrix SD-WAN WANOP (модели устройств 4000-WO, 4100-WO, 5000-WO и 5100-WO). Одна из проблем ( CVE-2020-8194 ) может быть использована для удаленного выполнения кода, в то время как другие могут привести к раскрытию информации или позволить удаленному пользователю повысить привилегии на системе.

В портах Chocolate Doom ( CVE-2020-14983 ) и Crispy Doom ( CVE-2020-14983 ) компьютерной игры Doom было обнаружено несколько опасных уязвимостей, эксплуатация которых позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе.

В панелях оператора серии GOT2000 от компании Mitsubishi Electric обнаружены опасные уязвимости , две из которых являются критическими. Проблемы затрагивают модели GT27, GT25 и GT23. Наиболее опасной из них является уязвимость переполнения буфера в стеке (CVE-2020-5595), позволяющая удаленному злоумышленнику отключить сетевые функции продуктов или запустить вредоносную программу с помощью специально сформированного пакета. Другая проблема (CVE-2020-5598) может быть использована удаленным злоумышленником для получения несанкционированного доступа к различным ограниченным функциям.

В интегрированной системе управления информацией в больницах с открытым исходным кодом OpenClinic GA обнаружено множество уязвимостей, три из которых являются критическими ( CVE-2020-14487, CVE-2020-14495, CVE-2020-14485 ). Их эксплуатация позволяет обойти процесс аутентификации или полностью скомпрометировать уязвимую систему.

В версии набора библиотек для записи, конвертации и передачи цифровых аудио- и видеофайлов FFmpeg 4.2.3 обнаружена уязвимость ( CVE-2020-13904 ), позволяющая скомпрометировать уязвимую систему. Уязвимость использования после освобождения связана с обработкой специально созданной длительности EXTINF в файле m3u8, поскольку parse_playlist в libavformat / hls.c освобождает указатель, а позже к этому указателю обращаются в av_probe_input_format3 в libavformat / format.c.

В клиенте Zoom для Windows была обнаружена уязвимость удаленного выполнения кода, которая позволяет скомпрометировать уязвимую систему. Проблема может быть проэксплуатирована только на системах под управлением Windows 7 и более старых версий ОС, которые больше не поддерживаются Microsoft, а сама атака требует взаимодействия с пользователем.