Questa settimana tratteremo le vulnerabilità di OpenJDK appena scoperte, una vulnerabilità di overflow dell'heap in Redis e l'esecuzione di codice PHP arbitrario in Drupal core.
Vulnerabilità di OpenJDK
La scorsa settimana OpenJDK ha rilasciato un avviso di sicurezza contenente quattro vulnerabilità.
CVE-2022-21541 è una vulnerabilità difficile da sfruttare nel componente hotspot/runtime che consente ad aggressori non autenticati con accesso alla rete tramite più protocolli di compromettere Java, il che potrebbe portare alla creazione, alla cancellazione o alla modifica non autorizzata di dati critici o di tutti i dati accessibili di openjdk.
La CVE-2022-21540 è presente nel componente hotspot/compilatore ed è una falla facilmente sfruttabile che consente ad aggressori non autenticati con accesso alla rete tramite più protocolli di accedere in lettura non autorizzata a un sottoinsieme di dati accessibili di openjdk. Questa falla ha solo un basso impatto sulla riservatezza dei dati.
La CVE-2022-21549 nel componente core-libs/java.util può provocare l'accesso non autorizzato ad alcuni dati accessibili di openjdk per l'aggiornamento, l'inserimento o la cancellazione.
Nota: Tutte e tre le vulnerabilità si applicano alle distribuzioni Java, tipicamente nei client che eseguono applicazioni Java Web Start con sandbox o applet Java con sandbox, che caricano ed eseguono codice non attendibile (ad esempio, codice proveniente da Internet) e si affidano alla sandbox Java per la sicurezza. Queste vulnerabilità possono essere sfruttate anche utilizzando le API nel componente specificato, ad esempio attraverso un servizio Web che fornisce dati alle API.
CVE-2022-34169 è un problema di troncamento degli interi nella libreria XSLT Java di Apache Xalan. Questo problema può essere sfruttato per corrompere i file di classe Java generati dal compilatore XSLTC interno ed eseguire bytecode Java arbitrari.
Overflow di heap in Redis
Redis viene spesso definito un server di strutture dati. Ciò significa che Redis fornisce l'accesso a strutture di dati mutabili tramite una serie di comandi, che vengono inviati utilizzando un modello server-client con socket TCP e un semplice protocollo. In questo modo, processi diversi possono interrogare e modificare le stesse strutture di dati in modo condiviso.
Esiste una condizione di overflow dell'heap che può essere innescata da una scrittura fuori dai limiti attraverso un file appositamente creato. XAUTOCLAIM su una chiave di flusso in uno stato specifico e potenzialmente portare all'esecuzione di codice remoto. La CVE-2022-31144 riguarda le versioni di Redis 7.0.0 o successive. Il problema è stato risolto nella versione 7.0.4 di Redis.
Drupal Core - Vulnerabilità all'esecuzione di codice PHP arbitrario
Drupal ha rilasciato quattro avvisi che descrivono quattro tipi di vulnerabilità. Una di esse è stata classificata "critica" e le altre tre "moderatamente critiche". La vulnerabilità "critica", classificata come CVE-2022-25277, riguarda Drupal 9.3 e 9.4. Il problema riguarda il nucleo di Drupal e può portare all'esecuzione di codice PHP arbitrario sui server Web Apache caricando file appositamente creati.
I restanti tre sono moderatamente critici secondo Drupal.
La CVE-2022-25276 potrebbe portare a cross-site scripting, cookie leaked o altre vulnerabilità perché il percorso iframe Media oEmbed non convalida correttamente l'impostazione del dominio iframe, il che consente di visualizzare gli embed nel contesto del dominio primario.
In alcune circostanze, il modulo del nucleo di Drupal API valuta in modo errato l'accesso agli elementi del modulo. La CVE-2022-25278 potrebbe portare un utente a modificare dati a cui non dovrebbe avere accesso.
La CVE-2022-25275 si verifica in alcune situazioni in cui il modulo Image non controlla correttamente l'accesso ai file immagine non memorizzati nella directory standard dei file pubblici quando si generano immagini derivate utilizzando il sistema degli stili di immagine.
Aggiornare a Drupal 9.4.3 o a 9.3.19 per applicare le patch per queste vulnerabilità. Nota: Tutte le versioni di Drupal 9 precedenti alla 9.3.x sono a fine vita e non ricevono copertura di sicurezza e Drupal 8 ha raggiunto la fine della sua vita. Il nucleo di Drupal 7 non è interessato.
Commenti (1)
Security Digest i was finding thanks for value