alerts.gdaverio.it

****************************************************************** Alert ID: GCSA-25028 Data: 24 Febbraio 2025 Titolo: Vulnerabilita' in Microsoft Edge ****************************************************************** :: Descrizione del problema Sono state identificate vulnerabilita' multiple in Microsoft Edge che potrebbero essere sfruttate da un attaccante remoto per eseguire codice arbitrario su un sistema che sia affetto. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Microsoft Edge Stable Channel versioni precedenti alla 133.0.3065.82 Microsoft Edge Extended Stable Channel versioni precedenti alla 132.0.2957.171 :: Impatto Remote Code Execution :: Soluzioni Aggiornare il software all'ultima versione disponibile L'aggiornamento avviene in modo automatico. E' possibile verificare la versione attualmente in uso scegliendo dal menu "Impostazioni e altro" (icona 3 punti verticali in alto...

****************************************************************** Alert ID: GCSA-25027 data: 20 febbraio 2025 titolo: Aggiornamento di sicurezza per Drupal ****************************************************************** :: Descrizione del problema Sono state rilasciate nuove versione del CMS Drupal con le quali vengono risolte le seguenti vulnerabilita' Drupal core - Critical - Cross site scripting - SA-CORE-2025-001 Drupal core - Moderately critical - Access bypass - SA-CORE-2025-002 Drupal core - Moderately critical - Gadget Chain - SA-CORE-2025-003 Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Drupal versioni precedenti alla 10.3.13 Drupal versioni precedenti alla 10.4.3 Drupal versioni precedenti alla 11.0.12 Drupal versioni precedenti alla 11.1.3 :: Impatto Cross Site Scripting (XSS) Esecuzione remota di codice arbitrario (RCE) Attacco all'integrita...

****************************************************************** Alert ID: GCSA-25026 data: 20 febbraio 2025 titolo: Aggiornamento di sicurezza per OpenSSH ****************************************************************** :: Descrizione del problema E' stata rilasciata una nuova versione di OpenSSH, con la quale vengono risolti alcuni bug funzionali e due vulnerabilita' di sicurezza. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato OpenSSH versioni dalla 6.8p1 alla 9.9p1 compresa :: Impatto Denial of Service (DoS) Spoofing - machine-in-the-middle (MitM) :: Soluzioni Aggiornare OpenSSH alla versione piu' recente (9.9p2) tramite gli upgrade del proprio sistema operativo, o scaricando il software dal seguente link https://www.openssh.com :: Riferimenti OpenSSH Security Advisory https://www.openssh.com/security.html https://www.openssh.com/txt/release-9.9...

****************************************************************** Alert ID: GCSA-25025 data: 18 febbraio 2025 titolo: Aggiornamento di sicurezza per Moodle ****************************************************************** :: Descrizione del problema Sono state rilasciate nuove versioni della piattaforma di e-learning Moodle con le quali vengono risolte 10 vulnerabilita' di sicurezza. MSA-25-0001: Arbitrary file read risk through pdfTeX MSA-25-0002: Feedback response viewing and deletions did not respect Separate Groups mode MSA-25-0003: Non-searchable tags can still be discovered on the tag search page and in the tags block MSA-25-0004: Stored XSS in ddimageortext question type MSA-25-0005: Stored XSS risk in admin live log MSA-25-0006: Reflected XSS via question bank filter MSA-25-0007: Upgrade RequireJS including security fix (upstream) MSA-25-0008: IDOR in badges allows disabling of arbitrary badges MSA-25-0009: Teachers can ev...

****************************************************************** Alert ID: GCSA-25024 data: 18 febbraio 2025 titolo: Aggiornamento di sicurezza per Microsoft Edge ****************************************************************** :: Descrizione del problema Microsoft ha rilasciato una nuova versione del browser Edge, con la quale risolve varie vulnerabilita'. Maggiori dettagli sono disponibili alla sezione "Riferimenti". :: Software interessato Microsoft Edge (Stable) versioni precedenti alla 133.0.3065.69 :: Impatto Denial of Service (DoS) Esecuzione remota di codice arbitrario (RCE) Bypass delle funzionalita' di sicurezza (SFB) Accesso a dati riservati (ID) Spoofing (Provide Misleading Information) :: Soluzioni Aggiornare il software alle ultime versioni. L'aggiornamento avviene in modo automatico. E' possibile verificare la versione attualmente in uso scegliendo dal menu "Impostazioni ...

****************************************************************** Alert ID: GCSA-25023 Data: 13 Febbraio 2025 Titolo: Vulnerabilita' in Google Chrome ****************************************************************** :: Descrizione del problema Sono state identificate 4 vulnerabilita' in Google Chrome che potrebbero essere sfruttate da un attaccante remoto per eseguire codice arbitrario e aggirare policy di sicurezza su un sistema che ne sia affetto. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Google Chrome versioni precedenti alla 133.0.6943.98 per Linux Google Chrome versioni precedenti alla 133.0.6943.98/.99 per Mac e Windows :: Impatto Remote Code Execution Security Restrictions Bypass :: Soluzioni Aggiornare alla versione piu' recente. L'aggiornamento sara' automatico per tutte le installazioni in cui non sia stata disattivata l'opzione "aggiornamento automatico". Gli utenti...

****************************************************************** Alert ID: GCSA-25022 Data: 13 Febbraio 2025 Titolo: Aggiornamento di sicurezza per OpenSSL ********************************************************************** :: Descrizione del problema E' stata riscontrata una vulnerabilita' in OpenSSL che potrebbe consentire ad un attaccante remoto di provocare condizioni di Data Manipulation e/o Denial of Service su un sistema che ne sia affetto. La vulnerabilita' permette l'esecuzione di attacchi di tipo Man-in-the-Middle se vengono utilizzate chiavi di tipo Raw Public Keys. :: Sistemi e Software interessato OpenSSL versioni 3.4, 3.3, 3.2 :: Impatto Denial of Service Data Manipulation Information Leakage :: Soluzioni Aggiornare il software alle seguenti versioni: Per la versione 3.4 aggiornare alla versione 3.4.1 Per la versione 3.3 aggiornare alla versione 3.3.3 Per la versione 3.2 aggiornare alla versione 3.2.4 :: Riferimenti OpenSSL.org - Vul...

****************************************************************** Alert ID: GCSA-25021 data: 13 febbraio 2025 titolo: Aggiornamento di sicurezza per GitLab ****************************************************************** :: Descrizione del problema GitLab ha rilasciamo nuove versioni della propria piattaforma con le quali risolve 8 vulnerabilita' di sicurezza, delle quali una di gravita' "alta". Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato GitLab Community Edition (CE) GitLab Enterprise Edition (EE) versioni precedenti alla 17.8.2, 17.7.4, 17.6.5 :: Impatto Bypass delle funzionalita' di sicurezza (SFB) :: Soluzioni Aggiornare alle ultime versioni https://about.gitlab.com/update https://docs.gitlab.com/ee/update/ :: Riferimenti GitLab Security Release https://about.gitlab.com/releases/2025/02/12/patch-release-gitlab-17-8-2-released/ GitLab - security best practices https://about.gitla...

****************************************************************** Alert ID: GCSA-25020 Data: 12 Febbraio 2025 Titolo: Adobe Security Bulletin - Febbraio 2025 ****************************************************************** :: Descrizione del problema Adobe ha rilasciato i seguenti aggiornamenti di sicurezza: APSB25-01 : Security update available for Adobe InDesign APSB25-08 : Security update available for Adobe Commerce APSB25-09 : Security update available for Adobe Substance 3D Stager APSB25-10 : Security update available for Adobe InCopy APSB25-11 : Security update available for Adobe Illustrator APSB25-12 : Security update available for Adobe Substance 3D Designer APSB25-13 : Security update available for Adobe Photoshop Elements Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Adobe InDesign Adobe Commerce Adobe Commerce B2B Magento Open Source Adobe Substance 3D Stager Adobe InCopy Illustrator 2024 Illustrator 2025 A...

****************************************************************** Alert ID: GCSA-25019 Data: 12 Febbraio 2025 Titolo: Microsoft Monthly Security Update - Febbraio 2025 ****************************************************************** :: Descrizione del problema Microsoft ha pubblicato il security update per il mese di Febbraio 2025, con questa release vengono risolte 66 vulnerabilita', delle quali 8 Zero_Day NOTA: Il vendor afferma che esistono in rete exploit per le CVE-2025-21194 e CVE-2025-21377 In vendor afferma che sono attivamente sfruttate le CVE-2025-21391 e CVE-2025-21418 Maggiori dettagli sono disponibili alla sezione "Riferimenti". :: Software / Tecnologie interessate Active Directory Domain Services Azure Network Watcher Microsoft AutoUpdate (MAU) Microsoft Digest Authentication Microsoft Dynamics 365 Sales Microsoft Edge (Chromium-based) Microsoft Edge for iOS and Android Microsoft High Performance Compute Pack (HPC) Linux Node Agent Microsoft Offi...

****************************************************************** Alert ID: GCSA-25018 data: 12 febbraio 2025 titolo: Apple Security Updates APPLE-SA-02-10-2025 ****************************************************************** :: Descrizione del problema Apple ha rilasciato aggiornamenti software per risolvere varie vulnerabilita' che interessano i propri prodotti. APPLE-SA-02-10-2025-1 iOS 18.3.1 and iPadOS 18.3.1 APPLE-SA-02-10-2025-2 iPadOS 17.7.5 Apple dichiara di essere a conoscenza dello sfruttamento attivo della vulnerabilita' CVE-2025-24200. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato iOS e iPadOS versioni precedenti alla 18.3.1 iPadOS versioni precedenti alla 17.7.5 :: Impatto Bypass delle funzionalita' di sicurezza (SFB) :: Soluzione Aggiornare i prodotti alle ultime versioni Aggiornare iPhone, iPad o iPod touch https://support.apple.com/it-it/118575 https://www.apple.com/itunes/ L'...

****************************************************************** Alert ID: GCSA-25017 Data: 7 Febbraio 2025 Titolo: Vulnerabilita' in Microsoft Edge ****************************************************************** :: Descrizione del problema Sono state identificate vulnerabilita' multiple in Microsoft Edge che potrebbero essere sfruttate da un attaccante remoto per rivelare informazioni sensibili, innescare condizioni di Denial of Service, spoofing ed eseguire codice arbitrario su un sistema che sia affetto. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Microsoft Edge Stable Channel versioni precedenti alla 133.0.3065.51 :: Impatto Denial of Service Remote Code Execution Information Disclosure Spoofing :: Soluzioni Aggiornare il software all'ultima versione disponibile L'aggiornamento avviene in modo automatico. E' possibile verificare la versione attualmente in uso scegliendo dal menu "I...

****************************************************************** Alert ID: GCSA-25016 Data: 5 Febbraio 2025 Titolo: Aggiornamento di sicurezza per prodotti Mozilla ****************************************************************** :: Descrizione del problema Mozilla ha rilasciato nuove versioni del browser Firefox, Firefox ESR e del client di posta Thunderbird, Thunderbird ESR con le quali risolve vulnerabilita' multiple. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Firefox versioni precedenti alla 135 Firefox ESR versioni precedenti alla 128.7 Firefox ESR versioni precedenti alla 115.20 Thunderbird versioni precedenti alla 135 Thunderbird versioni precedenti alla 128.7 Thunderbird versioni precedenti alla 115.20 Thunderbird ESR versioni precedenti alla 128.7 :: Impatto Remote Code Execution Denial of Service Data Manipulation Spoofing :: Soluzioni Aggiornare Firefox all'ultima versione https://support.moz...

****************************************************************** Alert ID: GCSA-25015 Data: 5 Febbraio 2025 Titolo: Vulnerabilita' in Google Chrome ****************************************************************** :: Descrizione del problema Sono state identificate vulnerabilita' multiple in Google Chrome che potrebbero essere sfruttate da un attaccante remoto per eseguire codice arbitrario, rivelare informazioni sensibili ed innescare condizioni di Denial of Service su un sistema che ne sia affetto. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Google Chrome versioni precedenti alla 133.0.6943.53 per Linux Google Chrome versioni precedenti 133.0.6943.53/54 per Mac e Windows :: Impatto Remote Code Execution Denial of Service Information Disclosure :: Soluzioni Aggiornare alla versione piu' recente. L'aggiornamento sara' automatico per tutte le installazioni in cui non sia stata disattivata l...

****************************************************************** Alert ID: GCSA-25014 Data: 3 Febbraio 2025 Titolo: Vulnerabilita' in Microsoft Edge ****************************************************************** :: Descrizione del problema E' stata identificata una vulnerabilita' in Microsoft Edge che potrebbe essere sfruttata da un attaccante remoto per eseguire codice arbitrario su un sistema che sia affetto. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Microsoft Edge Stable Channel versioni precedenti alla 132.0.2957.140 :: Impatto Remote Code Execution :: Soluzioni Aggiornare il software all'ultima versione disponibile L'aggiornamento avviene in modo automatico. E' possibile verificare la versione attualmente in uso scegliendo dal menu "Impostazioni e altro" (icona 3 punti verticali in alto a dx) la voce Guida e feedback -> Informazioni su Microsoft Edge :: Riferiment...

****************************************************************** Alert ID: GCSA-25013 Data: 3 Febbraio 2025 Titolo: Vulnerabilita' in Google Chrome ****************************************************************** :: Descrizione del problema E' stata identificata una vulnerabilita' in Google Chrome che potrebbe essere sfruttata da un attaccante remoto per eseguire codice arbitrario su un sistema che sia affetto. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Google Chrome versioni precedenti alla 132.0.6834.159 per Linux Google Chrome versioni precedenti alla 132.0.6834.159/160 per Mac e Windows :: Impatto Remote Code Execution :: Soluzioni Aggiornare alla versione piu' recente. L'aggiornamento sara' automatico per tutte le installazioni in cui non sia stata disattivata l'opzione "aggiornamento automatico". Gli utenti desktop possono verificare l'avvenuto aggiornamento sce...