alerts.gdaverio.it

  ****************************************************************** alert ID: GCSA-23144 data: 26 ottobre 2023 titolo: Apple Security Updates APPLE-SA-10-25-2023 ****************************************************************** :: Descrizione del problema Apple ha rilasciato aggiornamenti software per risolvere varie vulnerabilita' che interessano i propri prodotti. APPLE-SA-10-25-2023-1 iOS 17.1 and iPadOS 17.1 APPLE-SA-10-25-2023-2 iOS 16.7.2 and iPadOS 16.7.2 APPLE-SA-10-25-2023-3 iOS 15.8 and iPadOS 15.8 APPLE-SA-10-25-2023-4 macOS Sonoma 14.1 APPLE-SA-10-25-2023-5 macOS Ventura 13.6.1 APPLE-SA-10-25-2023-6 macOS Monterey 12.7.1 APPLE-SA-10-25-2023-7 tvOS 17.1 APPLE-SA-10-25-2023-8 watchOS 10.1 APPLE-SA-10-25-2023-9 Safari 17.1 Apple informa che la vulnerabilita' CVE-2023-32434 viene sfruttata attivamente contro versioni di iOS precedenti alla 15.7 . Maggiori informazioni sono disponibili alla sezione &qu

  ****************************************************************** alert ID: GCSA-23143 data: 26 ottobre 2023 titolo: Aggiornamento di sicurezza per OpenSSL ****************************************************************** :: Descrizione del problema Sono state state rilasciate nuove versioni del software OpenSSL con le quali vengono risolti alcuni bug e vulnerabilita' di sicurezza. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato OpenSSL versioni precedenti alla 3.1.4 OpenSSL versioni precedenti alla 3.0.12 :: Impatto Accesso a dati riservati (ID) :: Soluzioni Aggiornare OpenSSL alla versione piu' recente tramite gli upgrade del proprio sistema operativo, o scaricando il software dal seguente link https://www.openssl.org/source/ https://www.openssl.org/source/openssl-3.1.4.tar.gz https://www.openssl.org/source/openssl-3.0.12.tar.gz Le versioni OpenSS

  ****************************************************************** alert ID: GCSA-23142 data: 26 ottobre 2023 titolo: Aggiornamento di sicurezza per Mozilla Firefox e Thunderbird ****************************************************************** :: Descrizione del problema Mozilla ha rilasciato nuove versioni del browser Firefox e del client di posta Thunderbird con le quali risolve 11 vulnerabilita', 3 delle quali di livello alto. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Firefox versioni precedenti alla 119 Firefox ESR versioni precedenti alla 115.4 Firefox versioni precedenti alla 119 per iOS Thunderbird versioni precedenti alla 115.4.1 :: Impatto Denial of Service (DoS) Accesso a dati riservati (ID) Esecuzione remota di codice arbitrario (RCE) Bypass delle funzionalita' di sicurezza (SFB) Cross-site Scripting (XSS) :: Soluzioni Aggiornare Fir

  ****************************************************************** alert ID: GCSA-23141 data: 25 ottobre 2023 titolo: Aggiornamento di sicurezza per Google Chrome ****************************************************************** :: Descrizione del problema Google ha rilasciato nuove versioni del browser Chrome con le quali risolve una vulnerabilita' di livello alto. L'accesso completo alle informazioni relative ai bug sara' limitato, fino a quando la maggior parte dei sistemi non saranno stati aggiornati. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Google Chrome versioni precedenti alla 118.0.5993.117 per Mac Google Chrome versioni precedenti alla 118.0.5993.117 per Linux Google Chrome versioni precedenti alla 118.0.5993.117/.118 per Windows Google Chrome versioni precedenti alla 118.0.5993.111 per Android :: Impatto Esecuzione remota di codice arbitrario (RC

  ****************************************************************** Alert ID: GCSA-23140 Data: 24 ottobre 2023 Titolo: Aggiornamento di sicurezza per Apache HTTP Server ****************************************************************** :: Descrizione del problema E' stata rilasciata una nuova versione del server HTTP Apache con la quale vengono risolti alcuni bug di funzionamento e vulnerabilita' di sicurezza. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Apache HTTP Server versioni precedenti alla 2.4.58 :: Impatto Denial of Service (DoS) Accesso a dati riservati (ID) :: Soluzioni Aggiornare Apache alla versione 2.4.58 https://httpd.apache.org/download.cgi Il branch 2.2.x ha ormai superato la fine del ciclo di vita e non sono previsti ulteriori sviluppi, incluse le patch di sicurezza. :: Riferimenti Apache https://downloads.apache.org/httpd/Announce

  ****************************************************************** alert ID: GCSA-23139 data: 20 Ottobre 2023 titolo: Oracle Critical Patch Update Advisory - October 2023 ****************************************************************** :: Descrizione del problema Oracle ha rilasciato la Critical Patch Update July 2023. L'aggiornamento risolve 387 vulnerabilita', di cui 19 con gravita' "critica", presenti in vari prodotti. Un aggressore remoto potrebbe sfruttare alcune di queste vulnerabilita' per eseguire operazioni non autorizzate sui sistemi interessati. Oracle raccomanda di applicare gli aggiornamenti appena possibile. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Oracle Analytics Oracle Big Data Spatial and Graph Oracle Commerce Oracle Communications Oracle Communications Applications Oracle Construction and Engineering Oracle Database Server Oracle E-Business Suite Oracle Enterprise Manag

  ****************************************************************** alert ID: GCSA-23138 data: 19 Ottobre 2023 titolo: Aggiornamento di sicurezza per Moodle ****************************************************************** :: Descrizione del problema Sono state rilasciate nuove versioni della piattaforma di e-learning Moodle con le quali vengono risolte varie vulnerabilita' di sicurezza. MSA-23-0042: RCE due to LFI risk in some misconfigured shared hosting environments MSA-23-0036: Stored XSS and potential IDOR risk in Wiki comments MSA-23-0032: Authenticated remote code execution risk in IMSCP MSA-23-0031: Authenticated remote code execution risk in Lesson Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Moodle versioni precedenti alla 4.2.3 Moodle versioni precedenti alla 4.1.6 (LTS) Moodle versioni precedenti alla 4.0.11 Moodle versioni precedenti alla 3.11.17 (Unsupported Moodle Version) Moodle versioni precedenti a

  ****************************************************************** Alert ID: GCSA-23137 Data: 18 Ottobre 2023 Titolo: Vulnerabilita' critica per apparati Cisco IOS-XE ****************************************************************** :: Descrizione del problema E' stata rilevata una vulnerabilita' di tipo critico negli apparati Cisco IOS-XE, che permette ad un attaccante non autenticato sul sistema la creazione di un account di tipo admin dall'interfaccia Web UI, ed ottenere il completo controllo dell'apparato La vulnerabilita', con score CVSS v3 10, e' la CVE-2023-20198, ed e' al momento sfruttata pesantemente in rete Si consiglia di applicare le soluzioni di mitigazione sotto riportate :: Software interessato Cisco IOS XE Software con l'interfaccia Web UI abilitata :: Impatto Privilege escalation Controllo completo del sistema :: Soluzioni Al momento Cisco non ha ancora rilasciato una patch di sicurezza, nel frattempo si raccomanda

  ****************************************************************** Alert ID: GCSA-23136 Data: 12 Ottobre 2023 Titolo: Aggiornamento di sicurezza per Apache Tomcat ****************************************************************** :: Descrizione del problema Sono state identificate vulnerabilita' multiple nel server web Apache Tomcat che potrebbero essere sfruttate da un attaccante remoto per innescare denial of service e rivelare informazioni sensibili sul sistema target. :: Software interessato Apache Tomcat 8.5.0 to 8.5.93 Apache Tomcat 9.0.0-M1 to 9.0.80 Apache Tomcat 10.1.0-M1 to 10.1.13 Apache Tomcat 11.0.0-M1 to 11.0.0-M11 :: Impatto Denial of Service Information Disclosure :: Soluzioni Aggiornare il software alle versioni piu' recenti: Apache Tomcat 8.5.94 o successivo Apache Tomcat 9.0.81 o successivo Apache Tomcat 10.1.14 o successivo Apache Tomcat 11.0.0-M12 o successivo :: Riferimenti Apache.org https://tomcat.apache.org/security-8.html https://to

  ****************************************************************** Alert ID: GCSA-23135 Data: 12 Ottobre 2023 Titolo: Aggiornamento di sicurezza nei prodotti Fortinet ****************************************************************** :: Descrizione del problema Sono state identificate vulnerabilita' multiple nei prodotti Fortinet che potrebberto essere sfruttate da un attaccante remoto per manipolare dati, oltrepassare restrizioni di sicurezza, innescare condizioni di Denial of Service, rivelare informazioni riservate, ed eseguire codice arbitrario su un sistema che ne sia affetto. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato FortiClientLinux 6.2 tutte le versioni FortiClientLinux 6.4 tutte le versioni FortiClientLinux 7.0 tutte le versioni FortiClientLinux 7.2 versione 7.2.0 FortiClientMac 6.2 tutte le versioni FortiClientMac 6.4 tutte le versioni FortiClientMac 7.0 tutte le versioni FortiClientMac 7.2 dalla versi

  ****************************************************************** Alert ID : GCSA-23134 Data : 11 Ottobre 2023 Titolo : Vulnerabilita' in HTTP/2 (Rapid Reset Attack) ****************************************************************** :: Descrizione del problema E' stata riscontrata una vulnerabilita' (CVE-2023-44487) nel protocollo HTTP/2, gia' sfruttata attivamente, che potrebbe consentire ad un aggressore di generare attacchi DDoS ipervolumetrici. :: Software interessato I software dei web server piu' popolari (inclusi Apache, Microsoft IIS e NGINX) risultano affetti da questa vulnerabilita'. :: Impatto Denial of Service :: Soluzioni Applicare le mitigazioni come da istruzioni dei rispettivi vendor, o interrompere l'utilizzo del software nel caso in cui la mitigazione non sia ancora disponibile. Consultare il seguente documento (frequentemente aggiornato) per conoscere le piu' recenti informazioni disponibili: https://www.cert.europa.

  ****************************************************************** Alert ID: GCSA-23133 Data: 11 Ottobre 2023 Titolo: Aggiornamento di sicurezza per Apple iOS e iPadOS - APPLE-SA-10-10-2023-1 ****************************************************************** :: Descrizione del problema Apple ha rilasciato un aggiornamento di emergenza per i sistemi iOS e iPadOS, per risolvere due vulnerabilita' che hanno un impatto su iPhone e iPad. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software/hardware interessato iOS e iPadOS versioni precedenti alla 16.7.1 :: Impatto Acquisizione di privilegi piu' elevati (EoP) Esecuzione remota di codice arbitrario (RCE) :: Soluzione Aggiornare il software alla versione piu' recente Aggiornare iPhone, iPad o iPod touch https://support.apple.com/it-it/HT204204 https://www.apple.com/itunes/ L'aggiornamento e' disponibile tramite iTunes e la voce "Aggiornamento software" sul