alerts.gdaverio.it

****************************************************************** Alert ID: GCSA-24090 Data: 1 luglio 2024 Titolo: Aggiornamento di sicurezza per Apache HTTP Server ****************************************************************** :: Descrizione del problema E' stata rilasciata una nuova versione del server HTTP Apache. Oltre ad alcuni bug funzionali sono state risolte anche otto vulnerabilita' di sicurezza, cinque delle quali di livello "importante". Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Apache HTTP Server versioni dalla 2.4.0 alla 2.4.59 :: Impatto Denial of Service (DoS) Bypass delle funzionalita' di sicurezza (SFB) Accesso a dati riservati (ID) Esecuzione remota di comandi o codice arbitrario (RCE) Server-side request forgery (SSRF) Information leak :: Soluzioni Aggiornare Apache alla versione 2.4.60 https://httpd.apache.org/downloa

****************************************************************** Alert ID: GCSA-24042 Data: 15 Marzo 2024 Titolo: Aggiornamento di sicurezza per Apache Tomcat ****************************************************************** :: Descrizione del problema Sono state identificate diverse vulnerabilita' nel server web Apache Tomcat che potrebbero essere sfruttate da un attaccante remoto per denial of service, su un sistema che ne sia affetto :: Software interessato Apache Tomcat 11.0.x, dalla versione 11.0.0-M1 alla 11.0.0-M16 Apache Tomcat 10.1.x, dalla versione 10.1.0-M1 alla 10.1.18 Apache Tomcat 9.0.x, dalla versione 9.0.0-M1 alla 9.0.85 Apache Tomcat 8.5.x, dalla versione 8.5.0 alla 8.5.98 :: Impatto Denial of Service :: Soluzioni Aggiornare il software alle versioni piu' recenti: Apache Tomcat 11.0.0-M17 Apache Tomcat 10.1.19 Apache Tomcat 9.0.86 Apache Tomcat 8.5.99 Nota: Apache Tomcat 8.0.x non e' piu' supportato e non riceve piu' gli aggiorname

****************************************************************** Alert ID: GCSA-24011 Data: 22 Gennaio 2024 Titolo: Aggiornamento di sicurezza per Apache Tomcat ****************************************************************** :: Descrizione del problema E' stata identificata una vulnerabilita' nel server web Apache Tomcat che potrebbe essere sfruttata da un attaccante remoto per rivelare informazioni sensibili su un sistema che ne sia affetto :: Software interessato Apache Tomcat versione da 9.0.0-M11 a 9.0.43 Apache Tomcat versione da 8.5.7 a 8.5.63 :: Impatto Information Disclosure :: Soluzioni Aggiornare il software alle versioni piu' recenti: Apache Tomcat 9.0.44 o successivo Apache Tomcat 8.5.64 o successivo :: Riferimenti Apache.org https://tomcat.apache.org/security-9.html https://tomcat.apache.org/security-8.html Mitre CVE https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-46589 GARR CERT Security Alert - subscribe/unsubscribe: https:

****************************************************************** Alert ID : GCSA-23159 Data : 11 Dicembre 2023 Titolo : Vulnerabilita' in Apache Struts ****************************************************************** :: Descrizione del problema E' stata riscontrata una vulnerabilita' in Apache Struts, che potrebbe consentire ad un attaccante remoto di eseguire codice arbitrario su un sistema che ne sia affetto. :: Software interessato Apache Struts 2.0.0 - 2.3.37 (EOL) Apache Struts 2.5.0 - 2.5.32 Apache Struts 6.0.0 - 6.3.0 :: Impatto Remote Code Execution :: Soluzioni Aggiornare Apache Struts2 alla versione 2.5.33 o successive :: Riferimenti Apache.org https://cwiki.apache.org/confluence/display/WW/S2-066 https://lists.apache.org/thread/yh09b3fkf6vz5d6jdgrlvmg60lfwtqhj AusCERT https://www.auscert.org.au/bulletins/ESB-2023.7339.2 Mitre CVE https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-50164 GARR CERT Security Alert - subscribe/unsubscr

  ****************************************************************** Alert ID: GCSA-23140 Data: 24 ottobre 2023 Titolo: Aggiornamento di sicurezza per Apache HTTP Server ****************************************************************** :: Descrizione del problema E' stata rilasciata una nuova versione del server HTTP Apache con la quale vengono risolti alcuni bug di funzionamento e vulnerabilita' di sicurezza. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Apache HTTP Server versioni precedenti alla 2.4.58 :: Impatto Denial of Service (DoS) Accesso a dati riservati (ID) :: Soluzioni Aggiornare Apache alla versione 2.4.58 https://httpd.apache.org/download.cgi Il branch 2.2.x ha ormai superato la fine del ciclo di vita e non sono previsti ulteriori sviluppi, incluse le patch di sicurezza. :: Riferimenti Apache https://downloads.apache.org/httpd/Announce

  ****************************************************************** Alert ID: GCSA-23136 Data: 12 Ottobre 2023 Titolo: Aggiornamento di sicurezza per Apache Tomcat ****************************************************************** :: Descrizione del problema Sono state identificate vulnerabilita' multiple nel server web Apache Tomcat che potrebbero essere sfruttate da un attaccante remoto per innescare denial of service e rivelare informazioni sensibili sul sistema target. :: Software interessato Apache Tomcat 8.5.0 to 8.5.93 Apache Tomcat 9.0.0-M1 to 9.0.80 Apache Tomcat 10.1.0-M1 to 10.1.13 Apache Tomcat 11.0.0-M1 to 11.0.0-M11 :: Impatto Denial of Service Information Disclosure :: Soluzioni Aggiornare il software alle versioni piu' recenti: Apache Tomcat 8.5.94 o successivo Apache Tomcat 9.0.81 o successivo Apache Tomcat 10.1.14 o successivo Apache Tomcat 11.0.0-M12 o successivo :: Riferimenti Apache.org https://tomcat.apache.org/security-8.html https://to

  ****************************************************************** Alert ID : GCSA-23134 Data : 11 Ottobre 2023 Titolo : Vulnerabilita' in HTTP/2 (Rapid Reset Attack) ****************************************************************** :: Descrizione del problema E' stata riscontrata una vulnerabilita' (CVE-2023-44487) nel protocollo HTTP/2, gia' sfruttata attivamente, che potrebbe consentire ad un aggressore di generare attacchi DDoS ipervolumetrici. :: Software interessato I software dei web server piu' popolari (inclusi Apache, Microsoft IIS e NGINX) risultano affetti da questa vulnerabilita'. :: Impatto Denial of Service :: Soluzioni Applicare le mitigazioni come da istruzioni dei rispettivi vendor, o interrompere l'utilizzo del software nel caso in cui la mitigazione non sia ancora disponibile. Consultare il seguente documento (frequentemente aggiornato) per conoscere le piu' recenti informazioni disponibili: https://www.cert.europa.

****************************************************************** Alert ID: GCSA-23080 Data: 27 Giugno 2023 Titolo: Aggiornamento di sicurezza per Apache Tomcat ****************************************************************** :: Descrizione del problema E' stata identificata una vulnerabilita' nel server web Apache Tomcat che potrebbe essere sfruttata da un attaccante remoto per rivelare informazioni sensibili sul sistema target. :: Software interessato Apache Tomcat 11.0.0-M5 Apache Tomcat 10.1.8 Apache Tomcat 9.0.74 Apache Tomcat 8.5.88 :: Impatto Information Disclosure :: Soluzioni Aggiornare il software alle versioni piu' recenti: Apache Tomcat 11.0.0-M6 o successivo Apache Tomcat 10.1.9 o successivo Apache Tomcat 9.0.75 o successivo Apache Tomcat 8.5.89 o successivo :: Riferimenti Apache.org https://lists.apache.org/thread/j3bmrvn3nlr99w7p3vsn05yfc4vggdh8 https://tomcat.apache.org/security-11.html https://tomcat.apache.org/security-10.html https:

****************************************************************** Alert ID: GCSA-23031 Data: 10 marzo 2023 Titolo: Aggiornamento di sicurezza per Apache HTTP Server ****************************************************************** :: Descrizione del problema E' stata rilasciata una nuova versione del server HTTP Apache con la quale vengono risolti alcuni bug di funzionamento e alcune vulnerabilita' di sicurezza. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Apache HTTP Server versione 2.4.56 e precedenti :: Impatto Bypass delle funzionalita' di sicurezza (SFB) Rivelazione di informazioni (ID) :: Soluzioni Aggiornare Apache alla versione 2.4.56 https://httpd.apache.org/download.cgi Il branch 2.2.x ha ormai superato la fine del ciclo di vita e non sono previsti ulteriori sviluppi, incluse le patch di sicurezza. :: Riferimenti Apache https://downloads.

****************************************************************** Alert ID: GCSA-23028 Data: 24 Febbraio 2023 Titolo: Aggiornamento di sicurezza per Apache Tomcat ****************************************************************** :: Descrizione del problema E' stata identificata una vulnerabilita' nel server web Apache Tomcat che potrebbe essere sfruttata da un attaccante remoto innescare condizioni di Denial of Service su un sistema che ne sia affetto. :: Software interessato Apache Tomcat versione 11.0.0-M1 Apache Tomcat versioni da 10.1.0-M1 a 10.1.4 Apache Tomcat versioni da 9.0.0-M1 a 9.0.70 Apache Tomcat versioni da 8.5.0 a 8.5.84 :: Impatto Denial of Service (DoS) :: Soluzioni Aggiornare il software alle versioni piu' recenti: Apache Tomcat 11.0.0-M3 o successivo quando sara' rilasciato Apache Tomcat 10.1.5 o successivo Apache Tomcat 9.0.71 o successivo Apache Tomcat 8.5.85 o successivo Nota: la versione 11.0.0-M2 non e' stata rilasciata. ::

****************************************************************** ****************************************************************** Alert ID: GCSA-23005 Data: 20 Gennaio 2023 Titolo: Aggiornamento di sicurezza per Apache HTTP Server ****************************************************************** :: Descrizione del problema E' stata rilasciata una nuova versione del server HTTP Apache con la quale vengono risolte tre vulnerabilita' di sicurezza. I moduli interessati dalle vulnerabilita' sono: mod_dav mod_proxy_ajp mod_proxy Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Apache HTTP Server versione 2.4.54 e precedenti :: Impatto Denial of Service (DoS) Rivelazione di informazioni (ID) :: Soluzioni Aggiornare Apache alla versione 2.4.55 https://httpd.apache.org/download.cgi Il branch 2.2.x ha ormai superato la fine del ciclo di vita e non sono previsti ulteriori sviluppi, incluse le patch di sicurezza

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ****************************************************************** Alert ID: GCSA-22112 Data: 30 Settembre 2022 Titolo: Aggiornamento di sicurezza per Apache Tomcat ****************************************************************** :: Descrizione del problema E' stata identificata una vulnerabilita' nel server web Apache Tomcat che potrebbe essere sfruttata da un attaccante remoto per rivelare informazioni riservate su un sistema target. :: Software interessato Apache Tomcat versioni da 10.1.0-M1 a 10.1.0-M12 Apache Tomcat versioni da 10.0.0-M1 a 10.0.18 Apache Tomcat versioni da 9.0.0-M1 a 9.0.60 Apache Tomcat versioni da 8.5.0 a 8.5.77 :: Impatto Information Disclosure (ID) :: Soluzioni Aggiornare il software alle versioni piu' recenti: Apache Tomcat 10.1.0-M14 o successivo https://tomcat.apache.org/security-10.html Apache Tomcat 10.0.20 o successivo https://tomcat.apac

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ****************************************************************** Alert ID: GCSA-22065 Data: 10 giugno 2022 Titolo: Aggiornamento di sicurezza per Apache HTTP Server ****************************************************************** :: Descrizione del problema E' stata rilasciata una nuova versione del server HTTP Apache con la quale vengono risolti alcuni bug di funzionamento e vulnerabilita' di sicurezza. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Apache HTTP Server versione 2.4.53 e precedenti :: Impatto Denial of Service (DoS) Rivelazione di informazioni (ID) Bypass delle funzionalita' di sicurezza (SFB) :: Soluzioni Aggiornare Apache alla versione 2.4.54 https://httpd.apache.org/download.cgi Il branch 2.2.x ha ormai superato la fine del ciclo di vita e non son

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** Alert ID : GCSA-22048 Data : 13 Aprile 2022 Titolo : Vulnerabilita' in Apache Struts ****************************************************************** :: Descrizione del problema E' stata riscontrata una vulnerabilita' in Apache Struts, che puo' consentire ad un attaccante di ottenere il controllo di un sistema che ne sia affetto. :: Software interessato Apache Struts2 tutte le versioni dalla 2.0.0 alla 2.5.29 :: Impatto Remote Code Execution :: Soluzioni Aggiornare Apache Struts2 alla versione 2.5.30 :: Riferimenti Apache.org https://cwiki.apache.org/confluence/display/WW/S2-062 https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30 Mitre CVE https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-31805 GARR CERT Security Alert - subscribe/unsubscribe: https://www.cert.garr.it/

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** Alert ID: GCSA-22030 Data: 14 marzo 2022 Titolo: Aggiornamento di sicurezza per Apache HTTP Server ****************************************************************** :: Descrizione del problema E' stata rilasciata una nuova versione del server HTTP Apache con la quale vengono fornite nuove funzionalita', risolti alcuni bug di funzionamento e vulnerabilita' di sicurezza. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Apache HTTP Server versione 2.4.52 e precedenti :: Impatto Denial of Service (DoS) Esecuzione remota di codice arbitrario (RCE) Bypass delle funzionalita' di sicurezza (SFB) Gain unauthorized access to sensitive data :: Soluzioni Aggiornare Apache all'ultima versione 2.4.53 https://httpd.apach

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** Alert ID: GCSA-21132 Data: 14, 18 e 29 Dicembre 2021 Titolo: Aggiornamento Alert - Vulnerabilita' nelle librerie Apache Log4j - Ancora una nuovo RCE/patch ****************************************************************** :: Descrizione del problema E' stata riscontrata una nuova ulteriore vulnerabilita' nell'ultima versione di Apache log4j 2.17.0. La vulnerabilita' puo' essere sfruttata da un attaccante che abbia i privilegi di modifica sulla configurazione di logging, tramite il modulo JDBC appender e un JNDI URI che puo' eseguire codice, e consente l'esecuzione da remoto di codice arbitrario (RCE) In questo caso la vulnerabilita' e' un po' piu' difficile da sfruttare, perche' necessita di un utente che abbia privilegi di modifica della configurazione, per questo ha uno score CVSS

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** Alert ID: GCSA-21137 Data: 21 dicembre 2021 Titolo: Vulnerabilita' in Apache HTTP server ****************************************************************** :: Descrizione del problema E' stata rilasciata una nuova versione del server HTTP Apache con la quale vengono risolte due vulnerabilita', delle quali una con livello di rischio alto. :: Software interessato Apache HTTP Server versione 2.4.51 e precedenti :: Impatto Denial of Service (DoS) Esecuzione remota di codice arbitrario (RCE) :: Soluzioni Aggiornare Apache all'ultima versione 2.4.52 http://httpd.apache.org/download.cgi :: Riferimenti Apache https://httpd.apache.org/security/vulnerabilities_24.html#2.4.52 Mitre's CVE ID https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44224

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** Alert ID: GCSA-21132 Data: 18 Dicembre 2021 Titolo: Aggiornamento Alert - Vulnerabilita' nelle librerie Apache Log4j - Nuova patch ****************************************************************** :: Descrizione del problema Purtroppo sono state riscontrate due nuove vulnerabilita' di livello High (CVSS:7.5 e CVSS:8.5) nel pacchetto di librerie Log4j di Apache. La prima vulnerabilita' non e' coperta dall'ultimo aggiornamento 2.16.0 e puo' causare sul sistema un denial of service. La seconda vulnerabilita' riguarda la versione Apache Log4j 1.2, nella funzione JMSAppender, che se sfruttata puo' consentire ad un attaccante remoto di eseguire codice arbirario. Questa vulnerabilita' e' particolarmente insidiosa poiche' funziona sia da remoto che da locale, attraverso WebSocket, quindi il fatto che la macchin

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** Alert ID: GCSA-21132 Data: 14 Dicembre 2021 Titolo: Vulnerabilita' nelle librerie Apache Log4j - Rettifica ****************************************************************** Come gentilmente segnalato da un utente, che ringraziamo, nel bollettino in oggetto e' presente un errore sull'indicazione delle versioni di Log4j: Nella sezione: Software interessato "Librerie Apache Log4j dalla versione 2.0-beta-9 fino alla 2.16" diventa: "Librerie Apache Log4j dalla versione 2.0-beta-9 fino alla 2.15" Nella sezione: Soluzioni "Aggiornare le librerie Apache Log4j all'ultima versione 2.15.0" diventa: "Aggiornare le librerie Apache Log4j all'ultima versione 2.16.0" Di seguito il bollettino tutto intero corretto. Ci scusiamo per il disagio :: Descrizione del problema E' s

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** Alert ID: GCSA-21132 Data: 14 Dicembre 2021 Titolo: Vulnerabilita' nelle librerie Apache Log4j ****************************************************************** :: Descrizione del problema E' stata riscontrata una vulnerabilita' critica (CVSS:10.0) nel pacchetto di librerie Log4j di Apache. Questa vulnerabilita' consente ad un attaccante remoto, senza nessuna autenticazione, di poter eseguire codice arbitrario su un sistema che ne sia affetto, portandolo alla completa compromissione. La vulnerabilita' ha un impatto molto esteso, poiche' le librerie Log4j sono ampiamente utilizzate da un enorme varieta' di sistemi e software, sia open che closed, sia sviluppati in proprio. Inoltre, data l'ampia superficie di attacco, si riscontra un notevole incremento nella caccia di questo bug, tramite scansioni volte a