alerts.gdaverio.it

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** alert ID: GCSA-22012 data: 28 gennaio 2022 titolo: Aggiornamento di sicurezza per prodotti Apple - APPLE-SA-2022-01-26 ****************************************************************** :: Descrizione del problema Apple ha rilasciato un aggiornamento per i propri prodotti che risolve numerose vulnerabilita', anche gravi, che potrebbero permettere ad un attaccante remoto di ottenere il controllo completo su un sistema. Il bollettino contiene inoltre la fix per due 0-day. Note: la CVE-2022-22587 risulta essere sfruttata attivamente in rete Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software/hardware interessato MacOS Monterey, versioni precedenti alla 12.2 MacOS Big Sur, versioni precedenti alla 11.6.3 MacOS Catalina, versioni precedenti al Security Update 2022-001 watchOS, versioni preceden

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** Alert ID: GCSA-22011 Data: 21 Gennaio 2022 Titolo: Aggiornamento di sicurezza per Drupal ****************************************************************** :: Descrizione del problema Sono state rilasciate nuove versione del CMS Drupal che risolvono due bug di sicurezza: Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2022-001 Drupal core - Moderately critical - Cross site scripting - SA-CORE-2022-002 Maggiori informazioni sono disponibili nella segnalazione ufficiale alla sezione "Riferimenti". :: Piattaforme e software interessati Drupal versione 7 Drupal versione 9.2 Drupal versione 9.3 :: Impatto Cross-Site Scripting (XSS) :: Soluzioni Aggiornare alle ultime versioni di Drupal: https://www.drupal.org/project/drupal/releases/7.86 https://www.drupal.org/project/drupal/releases/9.2.11

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** Alert ID: GCSA-22010 Data: 20 Geannaio 2022 Titolo: Vulnerabilita' in Google Chrome ****************************************************************** :: Descrizione del problema Google ha rilasciato una nuova versione del browser Chrome con la quale risolve vulnerabilita' che potrebbero essere sfruttate da un attaccante remoto per eseguire codice arbitrario e oltrepassare restrizioni di sicurezza su sistema target. Per una descrizione completa delle vulnerabilita' consultare i link alla sezione "Riferimenti". :: Software interessato Google Chrome versioni precedenti alla 97.0.4692.99 per Windows, Mac e Linux :: Impatto Remote Code Execution Security Restriction Bypass :: Soluzioni Aggiornare Google Chrome alla versione indicata. L'aggiornamento sara' automatico per tutte le installazioni i

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** Alert ID : GCSA-22009 Data : 19 Gennaio 2022 Titolo : Oracle Critical Patch Update Advisory - January 2022 ****************************************************************** :: Descrizione del problema Oracle ha rilasciato la Critical Patch Update January 2022 per i suoi numerosi prodotti. L'aggiornamento risolve varie vulnerabilita', alcune sfruttabili da un attaccante remoto per prendere il controllo del sistema che ne e' affetto. Oracle raccomanda di applicare gli aggiornamenti appena possibile. :: Software interessato Per una descrizione completa si rimanda alla sezione 'Riferimenti'. :: Impatto L'impatto varia a seconda del prodotto, della componente e della configurazione del sistema. In alcuni casi, un attaccante remoto puo' prendere il controllo dei sistemi interessati da queste vulnerabilita'

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** alert ID: GCSA-22008 data: 14 gennaio 2022 titolo: Aggiornamento di sicurezza per Apple iOS e iPadOS - APPLE-SA-2022-01-12-1 ****************************************************************** :: Descrizione del problema Apple ha rilasciato un aggiornamento per i sistemi iOS e iPadOS che risolve una vulnerabilita' di tipo DoS presente nell'HomeKit smart home framework. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software/hardware interessato iOS versioni precedenti alla 15.2.1 iPadOS versioni precedenti alla 15.2.1 iPhone 6s e modelli successivi iPad Pro (tutti i modelli) iPad Air 2 e modelli successivi iPad (5a generazione) e modelli successivi iPad mini 4 e modelli successivi iPod touch (7a generazione) :: Impatto Denial of Servic

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** alert ID: GCSA-22007 data: 13 gennaio 2022 titolo: Aggiornamento di sicurezza per GitLab ****************************************************************** :: Descrizione del problema GitLab ha rilasciamo nuove versioni della propria piattaforma con le quali risolve alcune vulnerabilita'. Il produttore consiglia di aggiornare immediatamente tutte le installazioni. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato GitLab Community Edition (CE) GitLab Enterprise Edition (EE) versioni precedenti alle 14.6.2, 14.5.3, e 14.4.5 :: Impatto Esecuzione remota di codice arbitrario (RCE) Cross-Site Request Forgery (CSRF) Cross-Site Scripting (XSS) Denial of Service (DoS) Accesso a dati riservati (ID) Provide Misleading Inform

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** alert ID: GCSA-22006 data: 13 gennaio 2022 titolo: Aggiornamento di sicurezza per Mozilla Firefox e Thunderbird ****************************************************************** :: Descrizione del problema Mozilla ha rilasciato nuove versioni del browser Firefox e del client di posta Thunderbird con le quali risolve varie vulnerabilita', alcune di livello critico. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Firefox versioni precedenti alla 96 Firefox ESR versioni precedenti alla 91.5 Thunderbird versioni precedenti alla 91.5 :: Impatto Esecuzione remota di codice arbitrario (RCE) Denial of Service (DoS) Bypass delle funzionalita' di sicurezza (SFB) Accesso a dati riservati (ID) Acquisizione di privilegi piu' e

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** alert ID: GCSA-22005 data: 12 gennaio 2022 titolo: Microsoft Security Update - Gennaio 2022 ****************************************************************** :: Descrizione del problema Microsoft ha rilasciato il security update mensile per gennaio 2022, questa release risolve 97 vulnerabilita' (escludendo 29 vulnerabilita' in Microsoft Edge), delle quali 9 sono classificate come "critiche". Sei vulnerabilita' sono di tipo zero-day, ma al momento non risultano in corso attacchi specifici, anche se per due di queste (CVE-2022-21919 e CVE-2022-21836) e' disponibile pubblicamente del codice di exploit. Tra i bug critici il piu' grave e' il CVE-2022-21907, e' di tipo RCE e riguarda lo stack del protocollo HTTP, ha un indice CVSS pari a 9,8 in quanto e' wormable, ovv

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** alert ID: GCSA-22004 data: 12 gennaio 2022 titolo: Aggiornamento di sicurezza per prodotti Adobe ****************************************************************** :: Descrizione del problema Adobe ha rilasciato i seguenti aggiornamenti di sicurezza per risolvere 41 vulnerabilita', delle quali 22 di livello critico. APSB22-01 Security update available for Adobe Acrobat and Reader APSB22-02 Security update available for Adobe Illustrator APSB22-03 Security update available for Adobe Bridge APSB22-04 Security update available for Adobe InCopy APSB22-05 Security update available for Adobe InDesign Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Acrobat DC Continuous versione 21.007.20099 e precedenti per Windows e macOS Acrobat Reader DC Co

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** alert ID: GCSA-22003 data: 11 gennaio 2022 titolo: Configurazione sicura per dispositivi NAS QNAP ****************************************************************** :: Descrizione del problema Visti i continui attacchi di tipo ransomware e brute force contro i sistemi connessi in rete, il produttore taiwanese QNAP ha pubblicato un avviso, per esortare gli utenti di dispositivi NAS a seguire delle best practice per la configurazione sicura. Il produttore indica anche degli strumenti di valutazione del rischio e dei metodi protetti di accesso alle macchine. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato NAS QNAP :: Soluzioni Aggiornare i sistemi alle ultime versioni rilasciate e limitare il piu' possibile i servizi esposti. h

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** alert ID: GCSA-22002 data: 10 gennaio 2022 titolo: Aggiornamento di sicurezza per Google Chrome ****************************************************************** :: Descrizione del problema Google ha rilasciato una nuova versione del browser Chrome con la quale risolve 37 vulnerabilita' di sicurezza, delle quali una di livello critico e dieci di livello alto. L'accesso alle informazioni relative ai bug sara' limitato, fino a quando la maggior parte dei sistemi non saranno stati aggiornati. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Google Chrome versioni precedenti alla 97.0.4692.71 per Windows, Mac e Linux :: Impatto Esecuzione remota di codice arbitrario (RCE) Bypass delle funzionalita' di sicurezza (SFB) :: S

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** alert ID: GCSA-22001 data: 10 gennaio 2022 titolo: Aggiornamento di sicurezza per WordPress ****************************************************************** :: Descrizione del problema E' stata rilasciata una nuova security release del CMS WordPress, che risolve 4 bug relativi alla sicurezza. Maggiori informazioni sono disponibili alla sezione "Riferimenti". Oltre al core di WordPress e' fondamentale verificare anche gli aggiornamenti di sicurezza dei plugin installati. :: Software interessato WordPress versioni dalla 3.7 alla 5.8 :: Impatto Esecuzione remota di codice arbitrario (RCE) Cross-Site Scripting (XSS) Bypass delle funzionalita' di sicurezza (SFB) :: Soluzioni Installare manualmente la versione 5.8.3 https://wordpress.org/download/ htt