alerts.gdaverio.it

****************************************************************** Alert ID: GCSA-24062 Data: 26 Aprile 2024 Titolo: Vulnerabilita' in Google Chrome ****************************************************************** :: Descrizione del problema Sono state riscontrate 4 vulnerabilita' in Google Chrome, di cui una di livello CRITICAL (CVE-2024-4058), che potrebbero essere sfruttate da un attaccante remoto per eseguire codice arbitrario su un sistema che sia affetto. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Google Chrome versioni precedenti alla 124.0.6367.78 per Linux Google Chrome versioni precedenti alla 124.0.6367.78/.79 per Mac e Windows :: Impatto Remote Code Execution :: Soluzioni Aggiornare alla versione piu' recente. L'aggiornamento sara' automatico per tutte le installazioni in cui non sia stata disattivata l'opzione "aggiornamento automatico". Gli utenti desktop possono

****************************************************************** Alert ID: GCSA-24061 Data: 19 Aprile 2024 Titolo: Aggiornamento di sicurezza per Microsoft Edge ****************************************************************** :: Descrizione del problema Microsoft ha rilasciato una nuova versione del browser Edge, con la quale risolve alcune vulnerabilita' che potrebbero essere sfruttate da un attaccante remoto per rivelare informazioni sensibili, oltrepassare restrizioni di sicurezza, innescare condizioni di Denial of Service, eseguire codice arbitrario su un sistema che ne sia affetto. Maggiori dettagli sono disponibili alla sezione "Riferimenti". :: Software / Tecnologie interessate Microsoft Edge (Stable) versioni precedenti alla 124.0.2478.51 :: Impatto Remote Code Execution Security Restriction Bypass Information Disclosure Denial of Service :: Soluzioni Aggiornare il software all'ultima versione disponibile L'aggiornamento avviene in modo

****************************************************************** Alert ID: GCSA-24060 Data: 18 Aprile 2024 Titolo: Aggiornamento di sicurezza per prodotti Mozilla Firefox ****************************************************************** :: Descrizione del problema Mozilla ha rilasciato nuove versioni del browser Firefox, con le quali risolve alcune vulnerabilita' che potrebbero essere sfruttate da un attaccante remoto per eseguire codice arbitrario, oltrepassare restrizioni di sicurezza ed innescare condizioni di Denial of Service su un sistema che ne sia affetto Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Firefox versioni precedenti alla 125 Firefox ESR versioni precedenti alla 115.10 :: Impatto Remote Code Execution Denial of Service Security Restriction Bypass :: Soluzioni Aggiornare Firefox all'ultima versione https://support.mozilla.org/en-US/kb/update-firefox-latest-release https://www.mozilla.org

****************************************************************** Alert ID: GCSA-24059 Data: 17 Aprile 2024 Titolo: Vulnerabilita' in Google Chrome ****************************************************************** :: Descrizione del problema Sono state riscontrate vulnerabilita' multiple in Google Chrome che potrebbero essere sfruttate da un attaccante remoto per eseguire codice arbitrario, innescare condizioni di denial of service, rivelare informazioni sensibili, oltrepassare restrizioni di sicurezza ed eseguire codice arbitrario su un sistema che sia affetto. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Google Chrome versioni precedenti alla 124.0.6367.60 per Linux Google Chrome versioni precedenti alla 124.0.6367.60/.61 per Mac e Windows :: Impatto Remote Code Execution Denial of Service Information Disclosure Security Restriction Bypass :: Soluzioni Aggiornare alla versione piu' recente. L'agg

****************************************************************** Alert ID: GCSA-24058 Data: 17 Aprile 2024 Titolo: Oracle Critical Patch Update Advisory - April 2024 ****************************************************************** :: Descrizione del problema Oracle ha rilasciato la Critical Patch Update Aprile 2024. L'aggiornamento include 441 patch di sicurezza che risolvono vulnerabilita' multiple, presenti in vari prodotti. Un aggressore remoto potrebbe sfruttare alcune di queste vulnerabilita' per prendere il controllo di un sistema interessato. Oracle raccomanda di applicare gli aggiornamenti appena possibile. Nota: la vulnerabilita' CVE-2023-41993 e' gia' stata attivamente sfruttata, e consente ad un utente malintenzionato non autenticato di accedere alla rete tramite protocolli multipli per compromettere Oracle Java SE e Oracle GraalVM Enterprise Edition. Per essere portati a termine con successo, gli attacchi richiedono l'interazione umana

****************************************************************** Alert ID: GCSA-24057 data: 12 aprile 2024 titolo: Vulnerabilita' critica in Palo Alto Networks PAN-OS ****************************************************************** :: Descrizione del problema Palo Alto Networks ha rilasciato degli aggiornamenti per risolvere otto bug di sicurezza nel software PAN-OS, tra cui una vulnerabilita' critica: CVE-2024-3400, CVSSv4.0 Base Score: 10 Reference PAN-252214 PAN-OS: OS Command Injection Vulnerability in GlobalProtect Gateway https://security.paloaltonetworks.com/CVE-2024-3400 Tale vulnerabilita' risulta essere in corso di sfruttamento. Il problema riguarda solo i firewall PAN-OS 10.2, 11.0 e 11.1 con le configurazioni abilitate sia per il gateway GlobalProtect che per la telemetria del dispositivo. Per la CVE-2024-3400, il vendor comunica che gli aggiornamenti sono in fase di sviluppo e che verranno rilasciati

****************************************************************** Alert ID: GCSA-24056 data: 12 aprile 2024 titolo: Aggiornamento di sicurezza per GitLab ****************************************************************** :: Descrizione del problema GitLab ha rilasciamo nuove versioni della propria piattaforma con le quali risolve quattro vulnerabilita' di sicurezza, due di livello alto e due di livello medio. Con queste nuove versioni vengono inoltre risolti alcuni bug funzionali. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato GitLab Community Edition (CE) GitLab Enterprise Edition (EE) versioni precedenti alla 16.10.2, 16.9.4, 16.8.6 :: Impatto Cross-site Scripting (stored XSS) Denial of Service (DoS) :: Soluzioni Aggiornare alle ultime versioni https://about.gitlab.com/update https://docs.gitlab.com/ee/update/ :: Riferimenti GitLab Security Release h

****************************************************************** Alert ID: GCSA-24055 data: 11 aprile 2024 titolo: Aggiornamento di sicurezza per Google Chrome ****************************************************************** :: Descrizione del problema Google ha rilasciato nuove versioni del browser Chrome con le quali risolve 3 vulnerabilita' di sicurezza, tutte di livello alto. L'accesso completo alle informazioni relative ai bug sara' limitato, fino a quando la maggior parte dei sistemi non saranno stati aggiornati. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Google Chrome versioni precedenti alla 123.0.6312.122 per Linux Google Chrome versioni precedenti alla 123.0.6312.122/.123 per Windows Google Chrome versioni precedenti alla 123.0.6312.122/.123/.124 per Mac Google Chrome versioni precedenti alla 123.0.6312.118 per Android :: Impatto Esecuzione remota

****************************************************************** Alert ID: GCSA-24054 data: 11 aprile 2024 titolo: Aggiornamento di sicurezza per WordPress ****************************************************************** :: Descrizione del problema E' stata rilasciata una nuova versione del CMS WordPress che risolve 14 bug di funzionamento e 1 vulnerabilita' di sicurezza. Maggiori informazioni sono disponibili alla sezione "Riferimenti". Oltre a WordPress e' fondamentale verificare anche l'aggiornamento dei plugin installati. :: Software interessato WordPress versioni precedenti alla 6.5.2 :: Impatto Cross-Site Scripting (XSS) :: Soluzioni Installare manualmente la versione 6.5.2 https://wordpress.org/download/ https://wordpress.org/download/releases/ https://wordpress.org/wordpress-6.5.2.zip oppure fare click sul pulsante "Update Now" dalla Dashboard. I siti che supportano g

****************************************************************** Alert ID: GCSA-24053 data: 11 aprile 2024 titolo: Adobe Security Bulletin - aprile 2024 ****************************************************************** :: Descrizione del problema Adobe ha rilasciato i seguenti aggiornamenti di sicurezza APSB24-09 Adobe After Effects - CVSS (Max): 5.5 APSB24-16 Adobe Photoshop - CVSS (Max): 5.5 APSB24-18 Adobe Commerce and Magento - CVSS (Max): 9.0 APSB24-20 Adobe InDesign - CVSS (Max): 5.5 APSB24-21 Adobe Experience Manager - CVSS (Max): 5.4 APSB24-23 Adobe Media Encoder - CVSS (Max): 7.8 APSB24-24 Adobe Bridge - CVSS (Max): 5.5 APSB24-25 Adobe Illustrator - CVSS (Max): 5.5 APSB24-26 Adobe Animate - CVSS (Max): 7.8 Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Adobe After Effects 24.1 e precedenti Adobe After Effects 23.6.2 e precedenti Adobe Photoshop 2023 24.7.2 e

****************************************************************** Alert ID: GCSA-24052 data: 10 aprile 2024 titolo: Microsoft Monthly Security Update - aprile 2024 ****************************************************************** :: Descrizione del problema Microsoft ha pubblicato il security update per il mese di aprile 2024, con questa release vengono risolte 150 vulnerabilita', delle quali 3 di livello critico: CVE-2024-21322 (CVSS score 7.2) Microsoft Defender for IoT Remote Code Execution Vulnerability CVE-2024-21323 (CVSS score 8.8) Microsoft Defender for IoT Remote Code Execution Vulnerability CVE-2024-29053 (CVSS score 8.8) Microsoft Defender for IoT Remote Code Execution Vulnerability Microsoft comunica inoltre che due vulnerabilita' risultano in corso di sfruttamento: CVE-2024-26234 (CVSS score 6.7) Proxy Driver Spoofing Vulnerability https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26234 CVE-2024-29988 (

****************************************************************** Alert ID: GCSA-24051 Data: 30 marzo 2024 Titolo: Compromissione supply chain della libreria di compressione XZ ********************************************************************* :: Descrizione del problema E' stata inserita una backdoor nella libreria XZ Utils versioni 5.6.0 e 5.6.1. XZ Utils e' presente in varie distribuzioni Linux, e la sua compromissione puo' consentire l'accesso non autorizzato ai sistemi che hanno servizi esposti che la utilizzano. Trattandosi di una versione molto recente, e' probabile che i sistemi interessati non siano tra le release stabili. :: Software interessato - - XZ Utils (liblzma) versioni 5.6.0 and 5.6.1 ed eventuali servizi che dipendono dalla libreria (per es. sshd). :: Impatto Accesso non autorizzato ai sistemi con servizi esposti che dipendono dalla libreria compromessa. :: Soluzioni Eseguire il downgrade ad una versione stabile precedente,