alerts.gdaverio.it

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ******************************************************************************* Alert ID: GCSA-22085 Data: 29 Luglio 2022 Titolo: Vulnerabilita' in Samba ******************************************************************************* :: Descrizione del problema Sono state riscontrate vulnerabilita' multiple in Samba, sfruttando le quali un attaccante remoto puo' provocare condizioni di Denial of Service, oltrepassare restrizioni di sicurezza, eseguire codice arbitrario ed ottenere informazioni potenzialmente sensibili. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato versioni di Samba precedenti alle seguenti: 4.16.4 4.15.9 4.14.14 :: Impatto Denial of Service Remote Code Execution Security Restriction Bypass Information Disclosure :: Soluzioni Applicare le correzioni rilasciate dal produttore: http://www.samba.org/samb

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ****************************************************************** Alert ID: GCSA-22084 Data: 29 Luglio 2022 Titolo: Aggiornamento di sicurezza per GitLab ****************************************************************** :: Descrizione del problema GitLab ha rilasciato nuove versioni della propria piattaforma con le quali risolve alcune vulnerabilita'. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato versioni precedenti alle 15.2.1, 15.1.4, 15.0.5 di: GitLab Community Edition (CE) GitLab Enterprise Edition (EE) :: Impatto Cross-Site Scripting (XSS) Bypass delle restrizioni di sicurezza (SRB) Rivelazione di informazioni sensibili (ID) :: Soluzioni Aggiornare il software alle ultime versioni GitLab CE e EE 115.2.1, 15.1.4, 15.0.5 https://about.gitlab.com/update :: Riferimenti GitLab Security Release https://about.gi

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ****************************************************************** Alert ID: GCSA-22083 Data: 27 Luglio 2022 Titolo: Aggiornamento di sicurezza per Mozilla Firefox ****************************************************************** :: Descrizione del problema Mozilla ha rilasciato una nuova versione del browser Firefox con la quale risolve varie vulnerabilita', alcune delle quali di livello elevato. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Firefox versioni precedenti alla 103 Firefox ESR versioni precedenti alla 91.12 Firefox ESR versioni precedenti alla 102.1 :: Impatto Denial of Service (DoS) Esecuzione remota di codice arbitrario (RCE) Bypass delle restrizioni di sicurezza (SRB) Accesso a dati riservati (ID) Provide Misleading Information (spoofing) Manipolazione di dati (DM) :: Soluzioni Aggiornare Firefox all'ultim

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ****************************************************************** Alert ID: GCSA-22082 Data: 25 Luglio 2022 Titolo: Vulnerabilita' in Atlassian Questions for Confluence App ****************************************************************** :: Descrizione E' stata rilevata una vulnerabilita' critica in Questions for Confluence App di Atlassian, che potrebbe permettere ad un attaccante di ottenere informazioni sensibili. E' probabile che la vulnerabiita' sia attualmente in corso di sfruttamento. Maggiori informazioni sono disponibili nella sezione "Riferimenti" :: Software interessato Questions for Confluence versioni: 2.7.34 2.7.35 3.0.2 Questions for Confluence app per Confluence Cloud non e' affetta dalla vulnerabilita'. :: Impatto Authentication Bypass :: Soluzione due le soluzioni possibili 1) Aggiornare il software ad una versione non vu

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ****************************************************************** alert ID: GCSA-22081 data: 22 luglio 2022 titolo: Oracle Critical Patch Update Advisory - July 2022 ****************************************************************** :: Descrizione del problema Oracle ha rilasciato la Critical Patch Update July 2022. L'aggiornamento risolve 349 vulnerabilita' che sono presenti in vari prodotti. Un aggressore remoto potrebbe sfruttare alcune di queste vulnerabilita' per prendere il controllo di un sistema interessato. Oracle raccomanda di applicare gli aggiornamenti appena possibile. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Oracle MySQL Java SE Oracle Database Server VirtualBox Esistono molte altre versioni e prodotti interessati, per una descrizione completa si rimanda all

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ****************************************************************** alert ID: GCSA-22080 data: 21 luglio 2022 titolo: Apple Security Updates APPLE-SA-2022-07-20 ****************************************************************** :: Descrizione del problema Apple ha rilasciato i seguenti aggiornamenti di sicurezza per risolvere varie vulnerabilita' software presenti nei sistemi operativi e nelle applicazioni. APPLE-SA-2022-07-20-1 iOS 15.6 and iPadOS 15.6 APPLE-SA-2022-07-20-2 macOS Monterey 12.5 APPLE-SA-2022-07-20-3 macOS Big Sur 11.6.8 APPLE-SA-2022-07-20-4 Security Update 2022-005 Catalina APPLE-SA-2022-07-20-5 tvOS 15.6 APPLE-SA-2022-07-20-6 watchOS 8.7 APPLE-SA-2022-07-20-7 Safari 15.6 Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato iOS versioni precedenti alla 15.6 iPadOS versioni prec

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ****************************************************************** alert ID: GCSA-22079 data: 20 luglio 2022 titolo: Aggiornamento di sicurezza per Google Chrome ****************************************************************** :: Descrizione del problema Google ha rilasciato una nuova versione del browser Chrome con la quale risolve 11 vulnerabilita' di sicurezza, delle quali 5 di livello alto. L'accesso alle informazioni relative ai bug sara' limitato, fino a quando la maggior parte dei sistemi non saranno stati aggiornati. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Google Chrome versioni precedenti alla 103.0.5060.134 per Windows, Mac e Linux :: Impatto Esecuzione remota di codice arbitrario (RCE) Denial of Service (DoS) Accesso a dati riservati (ID) :: Soluzioni

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ****************************************************************** alert ID: GCSA-22078 data: 19 luglio 2022 titolo: Aggiornamento di sicurezza per Moodle ****************************************************************** :: Descrizione del problema Sono state rilasciate nuove versioni della piattaforma di e-learning Moodle con le quali vengono risolte alcune vulnerabilita' di sicurezza. MSA-22-0015: PostScript Code Injection / Remote code execution risk MSA-22-0016: Arbitrary file read when importing lesson questions MSA-22-0017: Stored XSS and blind SSRF possible via SCORM track details MSA-22-0018: Open redirect risk in mobile auto-login feature MSA-22-0019: LTI module reflected XSS risk - affecting unauthenticated users only MSA-22-0020: Upgrade moodle-mlbackend-python and update its reference in /lib/mlbackend/python/classes/processor.php (upstream) Maggiori

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ****************************************************************** Alert ID: GCSA-22077 Data: 13 Luglio 2022 Titolo: Adobe Security Bulletin - Luglio 2022 ****************************************************************** :: Descrizione del problema Adobe ha rilasciato i seguenti aggiornamenti di sicurezza: APSB22-10 : Security updates available for Adobe RoboHelp APSB22-32 : Security Updates Available for Adobe Acrobat and Reader APSB22-34 : Security Updates Available for Adobe Character and Animator APSB22-35 : Security Update Available for Adobe Photoshop Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Adobe RoboHelp RH202.0.7 per Windows e macOS e versioni precedenti Adobe Acrobat DC e Acrobat Reader DC 22.001.20142 per Windows e macOS e versioni precedenti Adobe Acrobat e Acrobat Reader 2020 20.005.30334 per Windows e versioni preceden

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ****************************************************************** Alert ID: GCSA-22076 Data: 13 Luglio 2022 Titolo: Microsoft Security Update Luglio 2022 ****************************************************************** :: Descrizione del problema Microsoft ha rilasciato il security update mensile per Luglio 2022, questa versione risolve 84 vulnerabilita', delle quali una zero-day. La CVE-2022-22047 risulta essere sfruttata attivamente in rete. Maggiori dettagli sono disponibili alla sezione "Riferimenti". :: Software interessato AMD CPU Branch Azure Site Recovery Azure Storage Library Microsoft Defender for Endpoint Microsoft Edge (Chromium-based) Microsoft Graphics Component Microsoft Office Open Source Software Role: DNS Server Role: Windows Fax Service Role: Windows Hyper-V Skype for Business and Microsoft Lync Windows Active Directory Windows Advanced Local Pro

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ****************************************************************** Alert ID: GCSA-22075 Data: 27 giugno 2022 Titolo: Aggiornamento di sicurezza per OpenSSL ****************************************************************** :: Descrizione del problema OpenSSL ha rilasciato un nuovo aggiornamento di sicurezza dopo aver scoperto che l'aggiornamento della settimana scorsa (3.0.4) ha introdotto un bug di sicurezza nell'implementazione di RSA di tipo memory corruption. La vulnerabilita' puo' essere sfruttata da remoto, e puo' consentire ad un attaccante la capacita' di poter eseguire codice arbitrario. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato OpenSSL versioni precedenti alla 3.0.5 :: Impatto Esecuzione remota di codice arbitrario (RCE) :: Soluzioni Aggiornare OpenSSL alla versione 3.0.5 tramite gli up

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ****************************************************************** Alert ID: GCSA-22074 Data: 05 Luglio 2022 Titolo: Aggiornamento di sicurezza per Google Chrome ****************************************************************** :: Descrizione del problema Google ha rilasciato una nuova versione del browser Chrome con la quale risolve 4 vulnerabilita' di sicurezza, di cui uno zero day considerato critico, il CVE-2022-2294 La vulnerabilita' si trova nel modulo WebRTC e se opportunamente sfruttata, puo' condurre un attaccante remoto ad ottenere il controllo completo del sistema. La correzione della CVE-2022-2294 risolve anche problemi di altri zero day: CVE-2022-0609 - Use-after-free in Animation CVE-2022-1096 - Type confusion in V8 CVE-2022-1364 - Type confusion in V8 NB: la vulnerabilita' CVE-2022-2294 risulta al momento ampiamente sfruttata su internet, si consiglia