alerts.gdaverio.it

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ****************************************************************** alert ID: GCSA-25044 data: 01 aprile 2025 titolo: Apple Security Updates APPLE-SA-03-31-2025 ****************************************************************** :: Descrizione del problema Apple ha rilasciato i seguenti aggiornamenti software per risolvere 145 vulnerabilita' che interessano i propri prodotti. APPLE-SA-03-31-2025-1 Safari 18.4 APPLE-SA-03-31-2025-2 Xcode 16.3 APPLE-SA-03-31-2025-3 iOS 18.4 and iPadOS 18.4 APPLE-SA-03-31-2025-4 iPadOS 17.7.6 APPLE-SA-03-31-2025-5 iOS 16.7.11 and iPadOS 16.7.11 APPLE-SA-03-31-2025-6 iOS 15.8.4 and iPadOS 15.8.4 APPLE-SA-03-31-2025-7 macOS Sequoia 15.4 APPLE-SA-03-31-2025-8 macOS Sonoma 14.7.5 APPLE-SA-03-31-2025-9 macOS Ventura 13.7.5 APPLE-SA-03-31-2025-10 tvOS 18.4 APPLE-SA-03-31-2025-11 visionOS 2.4 Con questo update vengono riso...

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ****************************************************************** Alert ID: GCSA-25043 Data: 28 Marzo 2025 Titolo: Aggiornamento di sicurezza per Mozilla Firefox e Firefox ESR ****************************************************************** :: Descrizione del problema Mozilla ha rilasciato nuove versioni del browser Firefox e Firefox ESR con le quali risolve una vulnerabilita' critica che potrebbe consentire ad un attaccante remoto di eseguire codice arbitrario su un sistema affetto. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Firefox per Windows versioni precedenti alla 136.0.4 Firefox ESR per Windows versioni precedenti alla 128.8.1 Firefox ESR per Windows versioni precedenti alla 115.21.1 :: Impatto Remote Code Execution :: Soluzioni Aggiornare Firefox all'ultima versione https://support.mozilla.org/en-US/kb/u...

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ****************************************************************** Alert ID: GCSA-25042 Data: 28 Marzo 2025 Titolo: Vulnerabilita' in Google Chrome ****************************************************************** :: Descrizione del problema E' stata riscontrata una vulnerabilita' in Google Chrome che potrebbe essere sfruttata da un attaccante remoto per eseguire codice arbitrario su un sistema che sia affetto. NOTA La vulnerabilita' risulta attivamente sfruttata in rete Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Google Chrome versioni precedenti alla 134.0.6998.177/.178 per Mac e Windows :: Impatto Remote Code Execution :: Soluzioni Aggiornare alla versione piu' recente. L'aggiornamento sara' automatico per tutte le installazioni in cui non sia stata disattivata l'opzione "aggiorna...

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ****************************************************************** alert ID: GCSA-25041 data: 28 marzo 2025 titolo: Aggiornamento di sicurezza per GitLab ****************************************************************** :: Descrizione del problema GitLab ha rilasciamo nuove versioni della propria piattaforma con le quali risolve 7 vulnerabilita' di sicurezza, delle quali 3 hanno un livello di gravita' "alto". Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato GitLab Community Edition (CE) GitLab Enterprise Edition (EE) versioni precedenti alla 17.9.3, 17.10.1 e dalla 13.5.0 alla 17.8.6 :: Impatto Bypass delle funzionalita' di sicurezza (SFB) Acquisizione di privilegi piu' elevati (EoP) :: Soluzioni Aggiornare alle ultime versioni https://about.gitlab.com/update https://docs.gitlab.com/ee/update/ ...

****************************************************************** Alert ID: GCSA-25040 data: 26 Marzo 2025 titolo: Vulnerabilita' in Ingress NGINX Controller di Kubernetes ****************************************************************** :: Descrizione del problema Sono state riscontrate 5 vulnerabilita' critiche nel tool Ingress NGINX Controller di Kubernetes, il tool comunemente usato in Kubernetes per esporre alla rete pubblica i Pod. Queste vulnerabilita' potrebbero portare un attaccante malevolo ad eseguire codice arbitrario da remoto senza nessuna autenticazione. Potendo avere accesso da remoto a tutti i secret per tutti i namespace del cluster, un attacco di questo tipo potrebbe comportare il takeover di tutto il cluster Kubernetes. NOTA: Le CVE (CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 and CVE-2025-1974) sono state classificate "critiche", con un punteggio CVSS di 9.8. Risulta l'esistenza in rete di PoC (Proof of Concept) per lo sfruttamen...

****************************************************************** Alert ID: GCSA-25038 Data: 20 marzo 2025 Titolo: Shibboleth Service Provider security advisory ****************************************************************** :: Descrizione del problema La Federazione IDEM ( https://www.idem.garr.it/ ) informa che e' stato emesso un nuovo Security Advisory per Shibboleth Service Provider, e suggerisce l'aggiornamento del software. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Piattaforme e software interessati La vulnerabilita' riguarda la libreria OpenSAML C++ :: Impatto Manipolazione dei parametri che consentirebbe la falsificazione di messaggi SAML firmati :: Soluzioni Aggiornare la libreria OpenSAML alla versione V3.3.1 o successive: https://shibboleth.net/downloads/c++-opensaml/3.3.1/ :: Riferimenti https://shibboleth.net/community/advisories/secadv_20250313.txt GARR CERT Security Alert - subscribe/unsubscri...

****************************************************************** Alert ID: GCSA-25039 Data: 20 Marzo 2025 Titolo: Vulnerabilita' in Google Chrome ****************************************************************** :: Descrizione del problema E' stata riscontrata una vulnerabilita' in Google Chrome che potrebbe essere sfruttata da un attaccante remoto per eseguire codice arbitrario su un sistema che sia affetto. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Google Chrome versioni precedenti alla 134.0.6998.117/.118 per Mac e Windows Google Chrome versioni precedenti alla 134.0.6998.117 per Linux :: Impatto Remote Code Execution :: Soluzioni Aggiornare alla versione piu' recente. L'aggiornamento sara' automatico per tutte le installazioni in cui non sia stata disattivata l'opzione "aggiornamento automatico". Gli utenti desktop possono verificare l'avvenuto aggiornamento scegl...

****************************************************************** Alert ID: GCSA-25038 Data: 19 Marzo 2025 Titolo: Shibboleth Identity Provider security advisory ****************************************************************** :: Descrizione del problema La Federazione IDEM ( https://www.idem.garr.it/ ) informa che e' stato emesso un nuovo Security Advisory per Shibboleth Service Provider, e suggerisce l'aggiornamento del software. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Piattaforme e software interessati La vulnerabilita' riguarda la libreria OpenSAML C++ :: Impatto Manipolazione dei parametri che consentirebbe la falsificazione di messaggi SAML firmati :: Soluzioni Aggiornare Shibboleth Service Provider alla versione V3.5.0.1 o successive: https://shibboleth.net/downloads/service-provider/latest/ :: Riferimenti https://shibboleth.net/community/advisories/secadv_20250313.txt GARR CERT Security Alert - subsc...

****************************************************************** Alert ID: GCSA-25037 data: 14 marzo 2025 titolo: Vulnerabilita' nei NAS QNAP ****************************************************************** :: Descrizione del problema QNAP ha rilasciato nuove versioni dei propri prodotti con cui risolve varie vulnerabilita'. I device di questo tipo non dovrebbero essere esposti direttamente ad Internet, ma essere raggiungibili solo via VPN, per impedire lo sfruttamento da remoto di possibili vulnerabilita' o misconfiguration. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software / Dispositivi interessati File Station 5.5.x versioni anteriori alla 5.5.6.4741 HBS 3 Hybrid Backup Sync 25.1.x versioni anteriori alla 25.1.4.952 Helpdesk 3.3.x versioni anteriori alla 3.3.3 Qfinder Pro Mac 7.11.x versioni anteriori alla 7.11.1 Qsync Client 5.1.x versioni anteriori alla 5.1.3 per Mac QTS...

****************************************************************** Alert ID: GCSA-25036 data: 13 marzo 2025 titolo: Aggiornamento di sicurezza per GitLab ****************************************************************** :: Descrizione del problema GitLab ha rilasciamo nuove versioni della propria piattaforma con le quali risolve 9 vulnerabilita' di sicurezza, delle quali 2 hanno un livello di gravita' "critico". Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato GitLab Community Edition (CE) GitLab Enterprise Edition (EE) versioni precedenti alla 17.9.2, 17.8.5, 17.7.7 :: Impatto Bypass delle funzionalita' di sicurezza (SFB) Denial of Service (DoS) Esecuzione remota di codice arbitrario (RCE) Acquisizione di privilegi piu' elevati (EoP) :: Soluzioni Aggiornare alle ultime versioni https://about.gitlab.com/update https://docs.gitlab.com/ee/u...

****************************************************************** Alert ID: GCSA-25035 data: 13 marzo 2025 titolo: Adobe Monthly Security Update - marzo 2025 ****************************************************************** :: Descrizione del problema Adobe ha rilasciato i seguenti aggiornamenti di sicurezza con i quali vengono risolte 35 vulnerabilita'. APSB25-14 Security update for Adobe Acrobat Reader APSB25-17 Security update for Adobe Illustrator APSB25-19 Security update for Adobe InDesign APSB25-16 Security update for Adobe Substance 3D Sampler APSB25-18 Security update for Adobe Substance 3D Painter APSB25-21 Security update for Adobe Substance 3D Modeler APSB25-22 Security update for Adobe Substance 3D Designer Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Acrobat DC 25.001.20428 e versioni precedenti Acrobat 2024 24.001.30225 e versioni precedenti Acrobat 2...

****************************************************************** Alert ID: GCSA-25034 data: 12 marzo 2025 titolo: Microsoft Monthly Security Update - marzo 2025 ****************************************************************** :: Descrizione del problema Microsoft ha pubblicato il security update per il mese di marzo 2025. Con questa release vengono risolte 57 vulnerabilita', delle quali 6 sono di tipo zero-day ed in corso di sfruttamento: CVE-2025-24983 (CVSS 7.0) Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-24983 CVE-2025-24984 (CVSS 4.6) Windows NTFS Information Disclosure Vulnerability http://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-24984 CVE-2025-24985 (CVSS 7.8) Windows Fast FAT File System Driver Remote Code Execution Vulnerability http://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-24985 CVE-2025-24991 (CVSS...