20.06.2020 | Обзор уязвимостей за неделю: 19 июня 2020 года |
На этой неделе исследователи безопасности сообщили об опасных уязвимостях в проприетарном TCP/IP-стеке Treck, предназначенном для встраиваемых систем, которые подвергают сотни миллионов IoT-устройств угрозе удаленного взлома. Treck TCP/IP содержит в общей сложности 19 уязвимостей , объединенных под общим названием Ripple20. Их эксплуатация позволяет удаленно выполнить код, осуществить DoS-атаку и похитить конфиденциальные данные. Эксплуатация осуществляется путем отправки жертвам специально сформированных IP-пакетов или DNS-запросов, а в некоторых случаях атаки могут быть проведены непосредственно из интернета. В сервере приложений Apache TomEE была исправлена опасная уязвимость ( CVE-2020-11969 ), эксплуатация которой позволяет удаленному злоумышленнику получить несанкционированный доступ к приложению. Уязвимость связана с тем, что интерфейс JMX доступен неавторизованным пользователям через 1099/TCP-порт, если Apache TomEE настроен на использование встроенного брокера ActiveMQ, а унифицированный идентификатор ресурса (URI) брокера включает параметр useJMX=true. В продукте Oracle Human Resources интегрированной группы приложений Oracle E-Business Suite были обнаружены две опасные уязвимости ( CVE-2020-2587, CVE-2020-2586 ). Эксплуатация проблем позволяет удаленному авторизованному пользователю повышать привилегии в приложении. Успешная эксплуатация уязвимостей может привести к несанкционированному созданию, удалению или изменению доступа к критически важным данным или может быть использована для осуществления частичной DoS-атаки. |
Проверить безопасность сайта