Sign up to save your podcasts
Or
Share RPR00002: Fortinet schließt 40 Lücken und BMC scores 10 von 10
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
RPR00002: Fortinet schließt 40 Lücken und BMC scores 10 von 10
Fortinet hat letzte Woche für 40 Schwachstellen Patches zur Verfügung gestellt. Alle CVE’s gibt’s bei Mitre in der CVE-Datenbank.
Für die Veeam-Schwachstellen CVE-2022-26500 und CVE-2022-26501 gibt es Patches vom Hersteller - allerdings nur für die Versionen 10 und 11. Wer noch die Version 9.5 verwendet, muss updaten und vorher ggf. seinen Supportvertrag erneuern.
CVE-2021-3493 ist eine Schwachstelle im Linux-Kernel und kann Angreifern darüber die vollständige Kontrolle über Endpunkte und IoT-Geräte ermöglichen. CVE-2021-4034 (PwnKit) betrifft Pkexec von Polkit, ein SUID-Root-Programm, das in allen Linux-Distributionen enthalten ist. Über die Links kommt ihr zu den Patches bei Mitre bzw. NIST.
Die Atlassian Bitbucket Vulnerability (CVE-2022-36804 ist ein Fehler bei der Befehlseingabe mit Auswirkung auf API-Endpunkte von Bitbucket Server und Data Center. Es gibt einen Patch vom Hersteller.
Über die Oracle-Schwachstelle CVE-2021-35587 kann ein nicht authentifizierten Angreifer mit Netzwerkzugang remote Access Manager-Instanzen in Oracle Fusion Middleware vollständig kompromittieren und übernehmen. Betroffen sind die Oracle Access Manager (OAM) Versionen 11.1.2.3.0, 12.2.1.3.0 und 12.2.1.4.0. Patches sind über die Hersteller-Seite verfügbar - du brauchst einen Oracle-Account mit aktivem Supportvertrag, um von da aus weiterzukommen. Auch Log4j ist noch ein Thema. Patches gibt es ebenfalls vom Hersteller – ebenfalls mit Supportpaywall.
Ebenfalls bereits Ende 2022 wurden mehr als ein Dutzend neue Firmware-Fehler bei BMC gefunden. Die Schwachstellen machen OT- und IoT-Geräte anfällig für Fernangriffe. Betroffen ist der spezialisierte Service-Prozessor IAC-AST2500A (System-on-Chip, SoC), der in Server-Motherboards eingesetzt und für die Fernüberwachung und -verwaltung eines Host-Systems verwendet wird - einschließlich der Durchführung von Low-Level-Systemoperationen wie Firmware-Flashing und Stromversorgungssteuerung. Patches gibt es nicht. Es hilft nur ein Firmware-Upgrade. Nozomi hat die Schwachstellen gefunden und in einem Blogpost beschrieben.
Das Herz blutet weiter: Immer noch laufen auf vielen Geräten veraltete Firmware-Images mit verwundbaren Versionen der OpenSSL-Verschlüsselungsbibliothek. Viele Hersteller arbeiten mit dem EFI Development Kit (EDK), einer Open-Source-Implementierung des Unified Extensible Firmware Interface (UEFI). Die Firmware-Entwicklungsumgebung für die Schnittstelle zwischen dem Betriebssystem und in der Gerätehardware eingebetteten Firmware verfügt über ein eigenes Verschlüsselungspaket (CryptoPkg), das auf Diensten des OpenSSL-Projekts (Heartbeat) aufsetzt. Allein in Deutschland kennt shodan.io aktuell 6.820 IoT Geräte mit der Schwachstelle. Bei 27 Mio. offenen Ports ist die Chance groß, erfolgreich attackiert zu werden.
Tools:
Schwachstellensmanagement mit Runecast
Automatisiertes Pentesting mit Pentera
_________________________________________________________________________________
Blog zu Enterprise-IT und unsere anderen Podcasts findet ihr in unserem Online-Magazin; oder ihr folgt uns auf Bluesky, Facebook, Mastodon bzw. LinkedIn für Content-Updates. RSS-Feeds gibt’s auch. Zum Gucken gibt’s was auf YouTube.
Artikel von mir gibt’s neuerdings bei speicherguide.de
Meine persönliche Sicht auf Enterprise-IT und noch mehr Schwachstellen, Tipps und News gibt’s als FrauStief auf Bluesky.
Für die Veeam-Schwachstellen CVE-2022-26500 und CVE-2022-26501 gibt es Patches vom Hersteller - allerdings nur für die Versionen 10 und 11. Wer noch die Version 9.5 verwendet, muss updaten und vorher ggf. seinen Supportvertrag erneuern.
CVE-2021-3493 ist eine Schwachstelle im Linux-Kernel und kann Angreifern darüber die vollständige Kontrolle über Endpunkte und IoT-Geräte ermöglichen. CVE-2021-4034 (PwnKit) betrifft Pkexec von Polkit, ein SUID-Root-Programm, das in allen Linux-Distributionen enthalten ist. Über die Links kommt ihr zu den Patches bei Mitre bzw. NIST.
Die Atlassian Bitbucket Vulnerability (CVE-2022-36804 ist ein Fehler bei der Befehlseingabe mit Auswirkung auf API-Endpunkte von Bitbucket Server und Data Center. Es gibt einen Patch vom Hersteller.
Über die Oracle-Schwachstelle CVE-2021-35587 kann ein nicht authentifizierten Angreifer mit Netzwerkzugang remote Access Manager-Instanzen in Oracle Fusion Middleware vollständig kompromittieren und übernehmen. Betroffen sind die Oracle Access Manager (OAM) Versionen 11.1.2.3.0, 12.2.1.3.0 und 12.2.1.4.0. Patches sind über die Hersteller-Seite verfügbar - du brauchst einen Oracle-Account mit aktivem Supportvertrag, um von da aus weiterzukommen. Auch Log4j ist noch ein Thema. Patches gibt es ebenfalls vom Hersteller – ebenfalls mit Supportpaywall.
Ebenfalls bereits Ende 2022 wurden mehr als ein Dutzend neue Firmware-Fehler bei BMC gefunden. Die Schwachstellen machen OT- und IoT-Geräte anfällig für Fernangriffe. Betroffen ist der spezialisierte Service-Prozessor IAC-AST2500A (System-on-Chip, SoC), der in Server-Motherboards eingesetzt und für die Fernüberwachung und -verwaltung eines Host-Systems verwendet wird - einschließlich der Durchführung von Low-Level-Systemoperationen wie Firmware-Flashing und Stromversorgungssteuerung. Patches gibt es nicht. Es hilft nur ein Firmware-Upgrade. Nozomi hat die Schwachstellen gefunden und in einem Blogpost beschrieben.
Das Herz blutet weiter: Immer noch laufen auf vielen Geräten veraltete Firmware-Images mit verwundbaren Versionen der OpenSSL-Verschlüsselungsbibliothek. Viele Hersteller arbeiten mit dem EFI Development Kit (EDK), einer Open-Source-Implementierung des Unified Extensible Firmware Interface (UEFI). Die Firmware-Entwicklungsumgebung für die Schnittstelle zwischen dem Betriebssystem und in der Gerätehardware eingebetteten Firmware verfügt über ein eigenes Verschlüsselungspaket (CryptoPkg), das auf Diensten des OpenSSL-Projekts (Heartbeat) aufsetzt. Allein in Deutschland kennt shodan.io aktuell 6.820 IoT Geräte mit der Schwachstelle. Bei 27 Mio. offenen Ports ist die Chance groß, erfolgreich attackiert zu werden.
Tools:
Schwachstellensmanagement mit Runecast
Automatisiertes Pentesting mit Pentera
_________________________________________________________________________________
Blog zu Enterprise-IT und unsere anderen Podcasts findet ihr in unserem Online-Magazin; oder ihr folgt uns auf Bluesky, Facebook, Mastodon bzw. LinkedIn für Content-Updates. RSS-Feeds gibt’s auch. Zum Gucken gibt’s was auf YouTube.
Artikel von mir gibt’s neuerdings bei speicherguide.de
Meine persönliche Sicht auf Enterprise-IT und noch mehr Schwachstellen, Tipps und News gibt’s als FrauStief auf Bluesky.
View all episodes
By Kerstin StiefFortinet hat letzte Woche für 40 Schwachstellen Patches zur Verfügung gestellt. Alle CVE’s gibt’s bei Mitre in der CVE-Datenbank.
Für die Veeam-Schwachstellen CVE-2022-26500 und CVE-2022-26501 gibt es Patches vom Hersteller - allerdings nur für die Versionen 10 und 11. Wer noch die Version 9.5 verwendet, muss updaten und vorher ggf. seinen Supportvertrag erneuern.
CVE-2021-3493 ist eine Schwachstelle im Linux-Kernel und kann Angreifern darüber die vollständige Kontrolle über Endpunkte und IoT-Geräte ermöglichen. CVE-2021-4034 (PwnKit) betrifft Pkexec von Polkit, ein SUID-Root-Programm, das in allen Linux-Distributionen enthalten ist. Über die Links kommt ihr zu den Patches bei Mitre bzw. NIST.
Die Atlassian Bitbucket Vulnerability (CVE-2022-36804 ist ein Fehler bei der Befehlseingabe mit Auswirkung auf API-Endpunkte von Bitbucket Server und Data Center. Es gibt einen Patch vom Hersteller.
Über die Oracle-Schwachstelle CVE-2021-35587 kann ein nicht authentifizierten Angreifer mit Netzwerkzugang remote Access Manager-Instanzen in Oracle Fusion Middleware vollständig kompromittieren und übernehmen. Betroffen sind die Oracle Access Manager (OAM) Versionen 11.1.2.3.0, 12.2.1.3.0 und 12.2.1.4.0. Patches sind über die Hersteller-Seite verfügbar - du brauchst einen Oracle-Account mit aktivem Supportvertrag, um von da aus weiterzukommen. Auch Log4j ist noch ein Thema. Patches gibt es ebenfalls vom Hersteller – ebenfalls mit Supportpaywall.
Ebenfalls bereits Ende 2022 wurden mehr als ein Dutzend neue Firmware-Fehler bei BMC gefunden. Die Schwachstellen machen OT- und IoT-Geräte anfällig für Fernangriffe. Betroffen ist der spezialisierte Service-Prozessor IAC-AST2500A (System-on-Chip, SoC), der in Server-Motherboards eingesetzt und für die Fernüberwachung und -verwaltung eines Host-Systems verwendet wird - einschließlich der Durchführung von Low-Level-Systemoperationen wie Firmware-Flashing und Stromversorgungssteuerung. Patches gibt es nicht. Es hilft nur ein Firmware-Upgrade. Nozomi hat die Schwachstellen gefunden und in einem Blogpost beschrieben.
Das Herz blutet weiter: Immer noch laufen auf vielen Geräten veraltete Firmware-Images mit verwundbaren Versionen der OpenSSL-Verschlüsselungsbibliothek. Viele Hersteller arbeiten mit dem EFI Development Kit (EDK), einer Open-Source-Implementierung des Unified Extensible Firmware Interface (UEFI). Die Firmware-Entwicklungsumgebung für die Schnittstelle zwischen dem Betriebssystem und in der Gerätehardware eingebetteten Firmware verfügt über ein eigenes Verschlüsselungspaket (CryptoPkg), das auf Diensten des OpenSSL-Projekts (Heartbeat) aufsetzt. Allein in Deutschland kennt shodan.io aktuell 6.820 IoT Geräte mit der Schwachstelle. Bei 27 Mio. offenen Ports ist die Chance groß, erfolgreich attackiert zu werden.
Tools:
Schwachstellensmanagement mit Runecast
Automatisiertes Pentesting mit Pentera
_________________________________________________________________________________
Blog zu Enterprise-IT und unsere anderen Podcasts findet ihr in unserem Online-Magazin; oder ihr folgt uns auf Bluesky, Facebook, Mastodon bzw. LinkedIn für Content-Updates. RSS-Feeds gibt’s auch. Zum Gucken gibt’s was auf YouTube.
Artikel von mir gibt’s neuerdings bei speicherguide.de
Meine persönliche Sicht auf Enterprise-IT und noch mehr Schwachstellen, Tipps und News gibt’s als FrauStief auf Bluesky.
Für die Veeam-Schwachstellen CVE-2022-26500 und CVE-2022-26501 gibt es Patches vom Hersteller - allerdings nur für die Versionen 10 und 11. Wer noch die Version 9.5 verwendet, muss updaten und vorher ggf. seinen Supportvertrag erneuern.
CVE-2021-3493 ist eine Schwachstelle im Linux-Kernel und kann Angreifern darüber die vollständige Kontrolle über Endpunkte und IoT-Geräte ermöglichen. CVE-2021-4034 (PwnKit) betrifft Pkexec von Polkit, ein SUID-Root-Programm, das in allen Linux-Distributionen enthalten ist. Über die Links kommt ihr zu den Patches bei Mitre bzw. NIST.
Die Atlassian Bitbucket Vulnerability (CVE-2022-36804 ist ein Fehler bei der Befehlseingabe mit Auswirkung auf API-Endpunkte von Bitbucket Server und Data Center. Es gibt einen Patch vom Hersteller.
Über die Oracle-Schwachstelle CVE-2021-35587 kann ein nicht authentifizierten Angreifer mit Netzwerkzugang remote Access Manager-Instanzen in Oracle Fusion Middleware vollständig kompromittieren und übernehmen. Betroffen sind die Oracle Access Manager (OAM) Versionen 11.1.2.3.0, 12.2.1.3.0 und 12.2.1.4.0. Patches sind über die Hersteller-Seite verfügbar - du brauchst einen Oracle-Account mit aktivem Supportvertrag, um von da aus weiterzukommen. Auch Log4j ist noch ein Thema. Patches gibt es ebenfalls vom Hersteller – ebenfalls mit Supportpaywall.
Ebenfalls bereits Ende 2022 wurden mehr als ein Dutzend neue Firmware-Fehler bei BMC gefunden. Die Schwachstellen machen OT- und IoT-Geräte anfällig für Fernangriffe. Betroffen ist der spezialisierte Service-Prozessor IAC-AST2500A (System-on-Chip, SoC), der in Server-Motherboards eingesetzt und für die Fernüberwachung und -verwaltung eines Host-Systems verwendet wird - einschließlich der Durchführung von Low-Level-Systemoperationen wie Firmware-Flashing und Stromversorgungssteuerung. Patches gibt es nicht. Es hilft nur ein Firmware-Upgrade. Nozomi hat die Schwachstellen gefunden und in einem Blogpost beschrieben.
Das Herz blutet weiter: Immer noch laufen auf vielen Geräten veraltete Firmware-Images mit verwundbaren Versionen der OpenSSL-Verschlüsselungsbibliothek. Viele Hersteller arbeiten mit dem EFI Development Kit (EDK), einer Open-Source-Implementierung des Unified Extensible Firmware Interface (UEFI). Die Firmware-Entwicklungsumgebung für die Schnittstelle zwischen dem Betriebssystem und in der Gerätehardware eingebetteten Firmware verfügt über ein eigenes Verschlüsselungspaket (CryptoPkg), das auf Diensten des OpenSSL-Projekts (Heartbeat) aufsetzt. Allein in Deutschland kennt shodan.io aktuell 6.820 IoT Geräte mit der Schwachstelle. Bei 27 Mio. offenen Ports ist die Chance groß, erfolgreich attackiert zu werden.
Tools:
Schwachstellensmanagement mit Runecast
Automatisiertes Pentesting mit Pentera
_________________________________________________________________________________
Blog zu Enterprise-IT und unsere anderen Podcasts findet ihr in unserem Online-Magazin; oder ihr folgt uns auf Bluesky, Facebook, Mastodon bzw. LinkedIn für Content-Updates. RSS-Feeds gibt’s auch. Zum Gucken gibt’s was auf YouTube.
Artikel von mir gibt’s neuerdings bei speicherguide.de
Meine persönliche Sicht auf Enterprise-IT und noch mehr Schwachstellen, Tipps und News gibt’s als FrauStief auf Bluesky.