alerts.gdaverio.it

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** Alert ID: GCSA-22025 Data: 28 Febbraio 2022 Titolo: Aggiornamento di sicurezza per GitLab ****************************************************************** :: Descrizione del problema GitLab ha rilasciamo nuove versioni della propria piattaforma con le quali risolve alcune vulnerabilita'. Il produttore consiglia di aggiornare immediatamente tutte le installazioni. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato versioni precedenti alle 14.8.2, 14.7.4, e 14.6.5 di: GitLab Community Edition (CE) GitLab Enterprise Edition (EE) GitLab Omnibus versioni precedenti alla 14.8 :: Impatto Denial of Service (DoS) Bypass delle restrizioni di sicurezza (SRB) Rivelazione di informazioni sensibili (ID) Esecuzione remota di codice arbitrario (RCE) :: Soluzioni ...

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** alert ID: GCSA-22024 data: 25 febbraio 2022 titolo: Aggiornamento di sicurezza per Cyrus SASL ****************************************************************** :: Descrizione del problema Il team Cyrus ha rilasciato una nuova versione della libreria Cyrus-SASL, con la quale risolve due vulnerabilita' lib/common.c CVE-2019-19906 Fix off by one error plugins/sql.c CVE-2022-24407 Escape password for SQL insert/update commands CVSS (Max): 8.8 - 9.1 Questa seconda vulnerabilita' e' relativa ad un difetto nel plugin SQL fornito con Cyrus SASL. Non viene eseguito correttamente l'escape dell'input SQL (insufficiente sanificazione della password), cio' consente ad un aggressore remoto non autenticato di eseguire comandi SQL arbitrari (SQL Injection). Maggiori infor...

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** alert ID: GCSA-22023 data: 21 febbraio 2022 titolo: Aggiornamento di sicurezza per PHP ****************************************************************** :: Descrizione del problema Sono state rilasciate nuove versioni del linguaggio di scripting PHP, con le quali vengono risolti alcuni bug ed una vulnerabilita' di sicurezza relativa alla funzione php_filter_float(). Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato PHP versioni precedenti alla 8.1.3 PHP versioni precedenti alla 8.0.16 PHP versioni precedenti alla 7.4.28 :: Impatto Denial of Service (DoS) Rivelazione di informazioni (ID) :: Soluzioni Aggiornare il software alle ultime versioni 8.1.3 https://www.php.net/downloads.php#v8.1.3 8.0.16 https:...

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** Alert ID: GCSA-22022 Data: 17 Febbraio 2022 Titolo: Aggiornamento di sicurezza per Drupal ****************************************************************** :: Descrizione del problema Sono state rilasciate nuove versione del CMS Drupal che risolvono due bug di sicurezza: Drupal core - Moderately critical - Improper input validation - SA-CORE-2022-003 Drupal core - Moderately critical - Information disclosure - SA-CORE-2022-004 La prima vulnerabilita' si trova nel form API e alcune form possono essere utilizzate per iniettare impostazioni non autorizzate o sovrascrivere dati. La seconda vulnerabilita' riguarda il modulo Quick Edit, abilitato di default, che potrebbe permettere l'accesso a dati a non autorizzati. Maggiori informazioni sono disponibili nella segnalazione ufficiale alla sezione "Riferimenti". ...

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** alert ID: GCSA-22021 data: 17 febbraio 2022 titolo: Aggiornamento di sicurezza per Mozilla Thunderbird ****************************************************************** :: Descrizione del problema Mozilla ha rilasciato una nuova versione del client di posta Thunderbird con le quali risolve una vulnerabilita' di livello critico. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Thunderbird versioni precedenti alla 91.6.1 :: Impatto Esecuzione remota di codice arbitrario (RCE) Denial of Service (DoS) :: Soluzioni Aggiornare Thunderbird all'ultima versione Thunderbird 91.6.1 https://support.mozilla.org/it/kb/aggiornamento-di-thunderbird https://www.mozilla.org/it/thunderbird/ https://www.thunderbird.net/en-US/thunderbird/all/ :: Riferimenti Mozil...

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** alert ID: GCSA-22020 data: 15 febbraio 2022 titolo: Aggiornamento di sicurezza per Google Chrome ****************************************************************** :: Descrizione del problema Google ha rilasciato nuove versioni del browser Chrome con le quali risolve 11 vulnerabilita' di sicurezza, delle quali una di livello alto. L'accesso alle informazioni relative ai bug sara' limitato, fino a quando la maggior parte dei sistemi non saranno stati aggiornati. Note: la CVE-2022-0609 risulta essere sfruttata attivamente in rete. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Google Chrome versioni precedenti alla 98.0.4758.102 per Windows, Mac e Linux :: Impatto Esecuzione remota di codice arbitrario (RCE) Denial of Service (DoS) :: Soluzioni Aggi...

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** Alert ID: GCSA-22019 Data: 11 Febbraio 2022 Titolo: Vulnerabilita' nei prodotti Apple (APPLE-SA-2022-02-10) ****************************************************************** :: Descrizione del problema E' stata identificata una vulnerabilita' nei prodotti Apple che potrebbe essere sfruttata da un attaccante remoto per eseguire codice arbitrario su un sistema che ne sia affetto. La vulnerabilita' viene innescata da un errore di tipo use-after-free durante l'elaborazione del contenuto HTML in WebKit. L'attaccante potrebbe sfruttare questa vulnerabilita' attirando gli utenti a visitare una pagina Web appositamente predisposta. Una volta aperta la pagina Web malevola, l'attaccante puo' eseguire da remoto codice arbitrario sul sistema target. La vulnerabilita' e' attualmente in corso di sfruttamento. M...