Kategori: 1105

  • MOVEit Transfer: DOS boşluğuna karşı güncellemeler

    MOVEit Transfer: DOS boşluğuna karşı güncellemeler

    Üretici Progress, MOVEit aktarım yazılımı için Ocak 2024 hizmet paketini yayımladı. Geliştiricilerin yüksek riskli olarak sınıflandırdığı bir güvenlik açığını kapatır. Duyuru Saldırganlar giriş doğrulama sorununu kötüye kullanabilir. Ön kimlik doğrulamanın ardından, bir HTTPS işlemindeki parametreleri, değiştirilen işlemin MOVEit Transfer içinde yanlış hesaplamalara neden olabileceği ve potansiyel olarak hizmet reddi koşullarına yol açabileceği şekilde değiştirebilirler (CVE-2024-0396,…

  • Trend Micro: Security Agent'lardaki güvenlik açıkları Ayrıcalığın Artmasına İzin Veriyor

    Trend Micro: Security Agent'lardaki güvenlik açıkları Ayrıcalığın Artmasına İzin Veriyor

    Trend Micro'nun Deep Security Agent'ında ve Cloud One Endpoint ve Workload Security Agent'ta, saldırganların sistemde yükseltilmiş ayrıcalıklar elde etmesine olanak tanıyan güvenlik kusurları bulunmaktadır. Üretici, sızıntıları gideren yazılım güncellemeleri sağlar. BT yöneticileri bunların derhal kurulduğundan emin olmalıdır. Duyuru Bunlar, Trend Micro'nun bir beyanında uyardığı, güvenlik aracılarındaki iki güvenlik açığıdır. Bir yandan yetersiz hak kontrolü, saldırganların…

  • Kritik Yama Güncellemesi: Oracle 389 güvenlik güncellemesi yayınladı

    Kritik Yama Güncellemesi: Oracle 389 güvenlik güncellemesi yayınladı

    Oracle yazılım yöneticilerinin uygulama yazılımlarını hızlı bir şekilde güncellemeleri gerekir, aksi takdirde saldırganlar birden fazla kritik güvenlik açığından yararlanabilir ve sistemleri tamamen tehlikeye atabilir. Duyuru Sayısız boşluk Tam listeden de görebileceğiniz gibi geliştiriciler, bu yılın ilk üç aylık güncellemesi için toplam 389 güvenlik yaması yayınladı. Bunlar mevcut ve önceki güvenlik açıklarından kaynaklanan güvenlik sorunlarını ele…

  • Atlassian: Salı günü yapılan yama güncellemeleri 28 yüksek riskli güvenlik açığını kapattı

    Atlassian: Salı günü yapılan yama güncellemeleri 28 yüksek riskli güvenlik açığını kapattı

    Atlassian, Ocak ayında bir yama günü düzenleyecek ve 28 güvenlik güncellemesi sunacak. Bu güvenlik açıkları, geliştiricilerin yüksek riskli olarak sınıflandırdığı çeşitli sağlayıcı programlarında kapanıyor. BT yöneticileri güncellemeleri uygulamak için hızlı çalışmalıdır. Duyuru Atlassian'ın Ocak Güvenlik Bülteni'nde geliştiriciler, mevcut sürümlerin düzelttiği yüksek riskli güvenlik açıklarını tek tek listeliyor. Etkileri internetten kod kaçakçılığından hizmet reddine ve bilgilerin…

  • Kritik Güvenlik Açığı: VMware, Aria Operasyonlarında Erişim Kontrollerini Unuttu

    Kritik Güvenlik Açığı: VMware, Aria Operasyonlarında Erişim Kontrollerini Unuttu

    Görünüşe göre VMware'in dahili otomasyon ve orkestrasyon çözümü Aria Operations'ta çok önemli bir noktada bir erişim kontrol mekanizması eksikti. Broadcom'un yakın zamanda bünyesine kattığı bulut şirketinin müşterilerine yönelik bir uyarıda belirttiği gibi, saldırganlar hakları artırmak için güvenlik açığından yararlanabilirler. Duyuru VMware, güvenlik açığı ve olası etkilerinin ayrıntıları konusunda büyük ölçüde sessiz kalıyor ancak 9.9 gibi…

  • PRTG izleme yazılımındaki siteler arası komut dosyası çalıştırma, oturum hırsızlığına olanak tanır

    PRTG izleme yazılımındaki siteler arası komut dosyası çalıştırma, oturum hırsızlığına olanak tanır

    PRTG ağ izleme çözümü, kayıtlı bir kullanıcının kasıtsız küçük bir yardımıyla, davetsiz misafirlerin oturum açma bilgilerini istemeden web konsoluna erişmesine olanak tanıyan bir güvenlik kusurundan muzdariptir. Duyuru Error.htm dosyasında htmclass adı verilen bir parametre PRTG tarafından yeterince kontrol edilmez ve kurnaz bir saldırgan bu parametreye JavaScript enjekte edebilir. Artık bu şekilde hazırlanan bağlantıyı, saldırıya uğrayan…

  • Nvidia güncellemeleri yapay zeka sistemlerindeki kritik güvenlik açıklarını kapatıyor

    Nvidia güncellemeleri yapay zeka sistemlerindeki kritik güvenlik açıklarını kapatıyor

    Nvidia, Nvidia DGX A100 ve H100 sistemleri için ürün yazılımı güncellemelerini yayınladı. Geliştiriciler, saldırganların eklenen kötü amaçlı kodları çalıştırabileceği, haklarını genişletebileceği veya yetkisiz bilgileri gözetleyebileceği bazı kritik güvenlik açıklarını kapatıyor. Duyuru Nvidia H100 sistemleri, üreticinin en yeni Hopper GPU'ları arasında yer alıyor ve yüksek aktarım hızları ve bol miktarda belleğe sahip yapay zeka hesaplamaları için…

  • Zoho ManageEngine: ADSelfService Plus'taki kritik güvenlik açığı

    Zoho ManageEngine: ADSelfService Plus'taki kritik güvenlik açığı

    Zoho, ManageEngine ADSelfService Plus'taki kritik bir güvenlik açığı konusunda uyarıyor: Saldırganlar ağa kod enjekte edebilir ve çalıştırabilir. Duyuru Bir güvenlik danışma belgesinde Zoho, kimliği doğrulanmış saldırganların Acronis ADSelfService Plus'ın yük dengeleyici bileşenine uzaktan kod enjekte edip çalıştırabileceğini açıklıyor.Bu, yük dengeleyici yapılandırmasından bağımsız olarak tüm ADSelfService Plus kurulumlarını etkiler; hepsi savunmasız. Zoho ManageEngine ADSelfService Plus: Güvenlik…

  • Güvenlik yaması: IBM Security Verify kök saldırılarına karşı savunmasız

    Güvenlik yaması: IBM Security Verify kök saldırılarına karşı savunmasız

    IBM Security Verify aracılığıyla aygıt erişimini yöneten yöneticilerin, güvenlik nedeniyle uygulamayı güncellemesi gerekir. Aksi takdirde saldırganlar birden fazla güvenlik açığından yararlanabilir ve sistemleri tamamen tehlikeye atabilir. Duyuru Kök güvenlik açığı Bir tavsiye belgesine göre, özellikle ciddi bir güvenlik açığını etkiliyor (CVE-2023-31003).yüksek“) Güvenlik Erişim Yöneticisi kapsayıcısı. Yetersiz erişim kontrolleri nedeniyle yerel bir saldırgan kök ayrıcalıkları kazanabilir.…

  • Hemen yama yapın!  GitLab'daki ciddi güvenlik açığı, hesabın ele geçirilmesine izin veriyor

    Hemen yama yapın! GitLab'daki ciddi güvenlik açığı, hesabın ele geçirilmesine izin veriyor

    GitLab için bir güvenlik açığı eleştirmen Olası hasar sabahtan beri ortalıkta dolaşıyor. Yazılım proje yönetimi platformunun Topluluk Sürümü (CE) ve Kurumsal Sürümü (EE), parola sıfırlama yoluyla keyfi hesap devralmaya izin veren bir sorundan muzdariptir. Duyuru CVE ID CVE-2023-7028'e sahip güvenlik açığının maksimum CVSS puanı 10,0'dır ve önceden kayıt gerekmeden uzaktan kullanılabilir. Haberler Security'nin etkilenenlerden öğrendiğine…