最近几天有许多漏洞相关的消息揭露,其中有一起引起资安圈的高度关注,原因是透露此事的研究人员指出,漏洞的CVSS风险评分达到了9.9,而且,这样的漏洞存在于Unix与Linux普遍内建的列印系统CUPS当中,可能有数十万台设备曝险。
这样的情况,一度有人认为可能会造成类似Log4Shell的危机,而使得资安圈不敢掉以轻心。
【漏洞与修补】
软体业者Progress发布9月份安全更新,推出24.0.1版网路管理软体WhatsUp Gold,修补多项高风险漏洞。
值得留意的是,本次公告内容只提及漏洞名称、CVSS风险评分、通报人员身分。这6项漏洞中,CVE-2024-8785及CVE-2024-46909为CVSS评分达到9.8的重大层级漏洞,分别源自Tenable和趋势科技研究人员通报。其余4项漏洞CVE-2024-46905、CVE-2024-46906、CVE-2024-46907及CVE-2024-46908皆为CVSS评分8.8的高风险漏洞,由趋势科技ZDI研究人员通报。
9月26日云端服务基础设施自动化业者HashiCorp发布资安公告,指出旗下的机敏资讯(secrets)管理工具Vault存在高风险漏洞CVE-2024-7594,同时影响社群版(Community Edition)与企业版(Enterprise),对此,他们发布社群版1.17.6,以及企业版1.17.6、1.16.10、1.15.15予以修补。
这项漏洞发生的原因,在于SSH机敏资讯引擎的valid_principals列表预设不须具备任何参数,一旦valid_principals及default_user栏位尚未设定,任何得到授权的使用者请求的SSH凭证,将能对任何本机使用者进行身分验证,CVSS风险评分为7.7。
其他漏洞与修补
NOYB认为,Mozilla企图在不于各个网站搜集个人资料的情况下衡量广告效果,但事实上,有部分的追踪能力直接转移到Firefox上,虽然相较于在美国常见的无限追踪,PPA的侵入性较小,但根据GDPR,它依然侵犯了使用者的权利,因为它并没有取得使用者的明确同意。