alerts.gdaverio.it

****************************************************************** Alert ID: GCSA-23014 Data: 31 Gennaio 2023 Titolo: Vulnerabilita' in NAS QNAP ****************************************************************** :: Descrizione del problema E' stata identificata una vulnerabilita' nei NAS QNAP che potrebbe consentire ad un attaccante remoto di eseguire codice arbitrario su un sistema che ne sia affetto :: Software interessato QTS 5.0.1 QuTS hero h5.0.1 :: Impatto Remote Code Execution :: Soluzioni Aggiornare i sistemi alle ultime versioni rilasciate: https://www.qnap.com/en/security-advisory/QSA-23-01 :: Riferimenti QNAP Security Advisory: https://www.qnap.com/en/security-advisory/QSA-23-01 Mitre CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27596 GARR CERT Security Alert - subscribe/unsubscribe: https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert -----BEGIN PGP SIGNATURE----- iD8DBQFj2OMNwZxMk2USYEIRCKPdAJ9TwIqQwJIyg6xkrQpVvZBFsc

****************************************************************** Alert ID: GCSA-23013 Data: 30 Gennaio 2023 Titolo: Vulnerabilita' in Microsoft Edge ****************************************************************** :: Descrizione del problema Sono state identificate vulnerabilita' multiple in Microsoft Edge che potrebbero essere sfruttate da un attaccante remoto per ottenere privilegi piu' elevati, eseguire codice arbitrario, innescare condizioni di Denial of Service e manipolare dai su un sistema che ne sia affetto. Maggiori dettagli sono disponibili alla sezione "Riferimenti". :: Software interessato Microsoft Edge versioni precedenti alla 109.0.1518.70 :: Impatto Remote Code Execution Denial of Service Data Manipulation :: Soluzioni Aggiornare il software alla versione 109.0.1518.70 :: Riferimenti Microsoft Security Updates https://msrc.microsoft.com/update-guide/vulnerability/ Mitre CVE http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2

****************************************************************** Alert ID: GCSA-23012 Data: 27 gennaio 2023 Titolo: Vulnerabilita' in ISC BIND ****************************************************************** :: Descrizione del problema L'Internet Systems Consortium (ISC) ha rilasciato nuove versioni del server DNS BIND. Oltre a correggere alcuni bug e a migliorare delle funzionalita', queste nuove versioni risolvono varie vulnerabilita' di sicurezza. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato BIND 9.16.0 -> 9.16.36 BIND 9.18.0 -> 9.18.10 BIND 9.19.0 -> 9.19.8 BIND Supported Preview Edition 9.16.8-S1 -> 9.16.36-S1 :: Impatto Denial of Service (DoS) :: Soluzioni Aggiornare BIND alle ultime versioni BIND 9.16.37 https://downloads.isc.org/isc/bind9/9.16.37/doc/arm/html/notes.html BIND 9.18.11 https://downloads.isc.org/isc/bind

****************************************************************** Alert ID: GCSA-23011 data: 26 gennaio 2023 titolo: Aggiornamento di sicurezza per Google Chrome ****************************************************************** :: Descrizione del problema Google ha rilasciato una nuova versione del browser Chrome con la quale risolve alcune vulnerabilita' delle quali due di livello alto. L'accesso alle informazioni relative ai bug sara' limitato, fino a quando la maggior parte dei sistemi non saranno stati aggiornati. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Google Chrome versioni precedenti alla 109.0.5414.119 per Mac e Linux Google Chrome versioni precedenti alla 109.0.5414.119/.120 per Windows :: Impatto Esecuzione remota di codice arbitrario (RCE) Accesso a dati riservati (ID) :: Soluzioni Aggiornare alla versione piu' recente. L'aggiornamen

****************************************************************** Alert ID: GCSA-23010 data: 25 gennaio 2023 titolo: Aggiornamento di sicurezza per Moodle ****************************************************************** :: Descrizione del problema Sono state rilasciate nuove versioni della piattaforma di e-learning Moodle con le quali vengono risolte alcune vulnerabilita' di sicurezza. MSA-23-0001: Reflected XSS risk in some returnurl parameters MSA-23-0002: Reflected XSS risk in blog search MSA-23-0003: Possible to set the preferred "start page" of other users Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Moodle versioni precedenti alla 3.9.18 Moodle versioni precedenti alla 3.11.11 Moodle versioni precedenti alla 4.0.5 Moodle versioni precedenti alla 4.1 Le versioni di Moodle precedenti alla 3.9 non sono piu' supportate. :: Impatto Cross-site Script

****************************************************************** Alert ID: GCSA-23009 data: 24 gennaio 2023 titolo: Aggiornamento di sicurezza per Mozilla Thunderbird ****************************************************************** :: Descrizione del problema Mozilla ha rilasciato una nuova versione del client di posta Thunderbird con la quale risolve varie vulnerabilita', alcune delle quali di livello elevato. Nelle note di rilascio viene segnalato quanto segue: Thunderbird 102.7.0 non si aggiornera' automaticamente a causa di un problema di autenticazione critico con gli account Microsoft 365 Business. Gli utenti interessati non devono eseguire l'aggiornamento fino a quando Thunderbird 102.7.1 non verra' rilasciato con una correzione specifica. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Thunderbird versioni precedenti alla 102.7 :: Impatto Bypa

****************************************************************** Alert ID: GCSA-23008 data: 24 gennaio 2023 titolo: Apple Security Updates APPLE-SA-2023-01-23 ****************************************************************** :: Descrizione del problema Apple ha rilasciato i seguenti aggiornamenti di sicurezza per risolvere varie vulnerabilita' presenti nei sistemi operativi e nelle applicazioni. APPLE-SA-2023-01-23-1 iOS 16.3 and iPadOS 16.3 APPLE-SA-2023-01-23-2 iOS 15.7.3 and iPadOS 15.7.3 APPLE-SA-2023-01-23-3 iOS 12.5.7 APPLE-SA-2023-01-23-4 macOS Ventura 13.2 APPLE-SA-2023-01-23-5 macOS Monterey 12.6.3 APPLE-SA-2023-01-23-6 macOS Big Sur 11.7.3 APPLE-SA-2023-01-23-7 watchOS 9.3 APPLE-SA-2023-01-23-8 Safari 16.3 Con la versione iOS 12.5.7 Apple ha eseguito il backport di una patch di sicurezza che risolve una vulnerabilita' zero-day (CVE-2022-42856) attivamente sfruttata in attacchi contro iPhone e iPad meno rec

****************************************************************** Alert ID: GCSA-23007 data: 20 Gennaio 2023 titolo: Aggiornamento di sicurezza per Mozilla Firefox e Firefox ESR ****************************************************************** :: Descrizione del problema Mozilla ha rilasciato nuove versioni del browser Firefox e Firefox ESR con le quali risolve varie vulnerabilita', di cui 5 con gravita' "alta". Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Firefox versioni precedenti alla 109 Firefox ESR 102.x versioni precedenti alla 102.7 :: Impatto Esecuzione remota di codice arbitrario (RCE) Accesso a dati riservati (ID) Arbitrary File Read Spoofing :: Soluzioni Aggiornare Firefox all'ultima versione Firefox 109 Firefox ESR 102.7 https://support.mozilla.org/en-US/kb/update-firefox-latest-release https://www.mozilla.org/it/firefox/new/ https://www.mozilla.org/en-US/firefox/organizations

****************************************************************** Alert ID: GCSA-23006 Data: 20 Gennaio 2023 Titolo: Oracle Critical Patch Update Advisory - January 2023 ****************************************************************** :: Descrizione del problema Oracle ha rilasciato la Critical Patch Update January 2023. L'aggiornamento risolve 327 vulnerabilita' che sono presenti in vari prodotti, di cui 146 con gravita' "alta" e 71 con gravita' "critica". Un aggressore remoto potrebbe sfruttare alcune di queste vulnerabilita' per prendere il controllo di un sistema interessato. Oracle raccomanda di applicare gli aggiornamenti appena possibile. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Big Data Graph Commerce Communications Communications Applications Construction and Engineering Database Server E-Business Suite Enterprise Manager Essbase Financial Services Applications Food

****************************************************************** ****************************************************************** Alert ID: GCSA-23005 Data: 20 Gennaio 2023 Titolo: Aggiornamento di sicurezza per Apache HTTP Server ****************************************************************** :: Descrizione del problema E' stata rilasciata una nuova versione del server HTTP Apache con la quale vengono risolte tre vulnerabilita' di sicurezza. I moduli interessati dalle vulnerabilita' sono: mod_dav mod_proxy_ajp mod_proxy Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Apache HTTP Server versione 2.4.54 e precedenti :: Impatto Denial of Service (DoS) Rivelazione di informazioni (ID) :: Soluzioni Aggiornare Apache alla versione 2.4.55 https://httpd.apache.org/download.cgi Il branch 2.2.x ha ormai superato la fine del ciclo di vita e non sono previsti ulteriori sviluppi, incluse le patch di sicurezza

****************************************************************** ****************************************************************** Alert ID: GCSA-23004 Data: 13 Gennaio 2023 Titolo: Vulnerabilita' in Microsoft Edge ****************************************************************** :: Descrizione del problema Sono state identificate vulnerabilita' multiple in Microsoft Edge che potrebbero essere sfruttate da un attaccante remoto per ottenere privilegi piu' elevati, eseguire codice arbitrario, rivelare informazioni riservate ed oltrepassare restrizioni di sicurezza su un sistema che ne sia affetto. Il Proof of Concept (PoC) per lo sfruttamento della vulnerabilita' CVE-2023-21775 e' disponibile in rete. Maggiori dettagli sono disponibili alla sezione "Riferimenti". :: Software interessato Microsoft Edge versioni precedenti alla 109.0.1518.49 :: Impatto Remote Code Execution Denial of Service Information Disclosure Security Restriction Bypass E

****************************************************************** Alert ID: GCSA-23003 Data: 11 Gennaio 2023 Titolo: Aggiornamento di sicurezza per Google Chrome ****************************************************************** :: Descrizione del problema Google ha rilasciato una nuova versione del browser Chrome con la quale risolve 17 vulnerabilita' di sicurezza. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Google Chrome versioni precedenti alla 109.0.5414.74 (linux) Google Chrome versioni precedenti alla 109.0.5414.74/.75 (Windows) Google Chrome versioni precedenti alla 109.0.5414.87 (Mac) :: Impatto Denial of Service Remote Code Execution Information Disclosure Security Restriction Bypass :: Soluzioni Aggiornare alla versione piu' recente. L'aggiornamento sara' automatico per tutte le installazioni in cui non sia stata disattivata l'opzione "aggiornamento automatico". Gli utenti

****************************************************************** Alert ID: GCSA-23002 Data: 11 Gennaio 2023 Titolo: Microsoft Security Update Gennaio 2023 ****************************************************************** :: Descrizione del problema Microsoft ha rilasciato il security update mensile per Gennaio 2023, questa versione risolve 98 vulnerabilita', delle quali 11 sono classificate come critiche e una zero-day (CVE-2023-21674 - Windows Advanced Local Procedure Call (ALPC) Elevation of Privilege Vulnerability) Maggiori dettagli sono disponibili alla sezione "Riferimenti". :: Software interessato .NET Core 3D Builder Azure Service Fabric Container Microsoft Bluetooth Driver Microsoft Exchange Server Microsoft Graphics Component Microsoft Local Security Authority Server (lsasrv) Microsoft Message Queuing Microsoft Office Microsoft Office SharePoint Microsoft Office Visio Microsoft WDAC OLE DB provider for SQL Visual Studio Code Windows ALPC Windows Ancil

****************************************************************** Alert ID: GCSA-23001 Data: 11 Gennaio 2023 Titolo: Adobe Security Bulletin - Gennaio 2023 ****************************************************************** :: Descrizione del problema Adobe ha rilasciato i seguenti aggiornamenti di sicurezza APSB23-01 Security update available for Adobe Acrobat and Reader APSB23-07 Security Update Available for Adobe InDesign APSB23-08 Security Update Available for Adobe InCopy APSB23-10 Security update available for Adobe Dimension Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Acrobat DC 22.003.20282 (Win), 22.003.20281 (Mac) e versioni precedenti Acrobat Reader DC 22.003.20282 (Win), 22.003.20281 (Mac) e versioni precedenti Acrobat 2020 20.005.30418 e versioni precedenti Acrobat Reader 2020 20.005.30418 e versioni precedenti Adobe InDesign ID18.0 e versioni precedenti Adobe InDesign ID17.4 e versioni precedenti Adobe InC