Beveiligingsadviezen van het NCSC
De ontwikkelaars van libarchive hebben een kwetsbaarheid verholpen. De kwetsbaarheid stelt een kwaadwillende op afstand in staat gevoelige gegevens in te zien of een Denial-of-Service (DoS) te veroorzaken. De kwaadwillende moet hiertoe een slachtoffer bewegen een malafide en gecomprimeerd bestand te openen met een applicatie die gebruik maakt van libarchive. Verschillende platforms hebben updates uitgebracht om de kwetsbaarheid te verhelpen, zie "Mogelijke oplossingen" voor meer informatie.
De ontwikkelaars van PostgreSQL hebben een kwetsbaarheid verholpen in PostgreSQL. Gebleken is dat bepaalde commando's zoals Autovacuum, REINDEX, CREATE INDEX, REFRESH MATERIALIZED VIEW, CLUSTER en pg_amcheck niet correct omgaan met rechten, waardoor een gebruiker deze commando's kan uitvoeren buiten de scope die is toegewezen aan het account. Hierdoor kan een kwaadwillende deze commando's misbruiken om databases te manipuleren waartoe hij niet geautoriseerd is. De kwaadwillende dient hiervoor wel voorafgaande toegang tot het systeem te hebben.
Mozilla heeft twee kwetsbaarheden verholpen in Firefox en Thunderbird. Een kwaadwillende kan de kwetsbaarheden mogelijk misbruiken om willekeurige javascript-code uit te voeren buiten de context van de browser, en daarmee mogelijk toegang krijgen tot gevoelige gegevens.
Er is een kwetsbaarheid verholpen in OpenLDAP. De kwetsbaarheid stelt een kwaadwillende in staat een SQL-injectie uit te voeren. Het gaat hier om een kwetsbaarheid in de back-sql backend. Deze backend wordt niet meer actief ondersteund maar is nog wel beschikbaar in OpenLDAP.
Grafana Labs heeft een kwetsbaarheid verholpen in Grafana Enterprise. Een kwaadwillende met de rechten om een eigen data source aan te maken kan de kwetsbaarheid misbruiken voor een Same Site Request Forgery-aanval (SSRF) en zo toegang krijgen tot gevoelige gegevens.
Er is een kwestsbaarheid verholpen in Cisco IOS XR. De kwetsbaarheid in de health check RPM van Cisco IOS XR-software kan een niet-geverifieerde, externe kwaadwillende in staat stellen toegang te krijgen tot de Redis-omgeving.
Er is een kwetsbaarheid verholpen in DHCP. De kwetsbaarheid stelt een kwaadwillende op afstand in staat een Denial-of-Service te veroorzaken.