VMware Workstation és Fusion DoS sérülékenység
Cisco IOS and IOS XE szoftver EnergyWise DoS sérülékenység
------------------------------------------------------------------------------------------------------------------
VMware Workstation és Fusion DoS sérülékenység
2018-03-15
CVE-2018-6957
A VMware Workstation és Fusion olyan sérülékenységet tartalmaz, melyek kihasználásával szolgáltatás megtagadás állapot idézhető elő. A sérülékenységet nagy számú VNC sesssion megnyitásával lehet kihasználni. A sérülékenység csak azokon a rendszereken kihasználható, ahol a VNC manuálisan engedélyezett.
Az érintett termékekek:
A javított szoftver verziók illetve patchek már rendelkezésre állnak. Javasolt a legfrisseb verzióra való frissítés.
GNU systemd systemd-tmpfiles jogosulatlan hozzáférés sérülékenység
2018-03-20
GNU systemd systemd-tmpfiles Unauthorized Access Vulnerability
CVE-2018-6954
A GNU systemd systemd-tmpfiles kezelésében egy olyan magas besorolású sérülékenységet találtak, mely egy helyi azonosított felhasználónak lehetővé teszi tetszőleges fájl elérését a támadott rendszeren.
A sérülékenységet az útvonal köztes részében (non-terminal path component) a szimbolikus linkek (symlinks) nem megfelelő kezelése okozza a systemd-tmpfiles funkcó használata esetén.
A sérülékenységet bizonyító minta kód nyílvánosan elérhető.
A sérülékenységet javító kód vagy szofverfrissítés még nem áll rendelkezésre.
Cisco IOS and IOS XE szoftver EnergyWise DoS sérülékenység
2018-03-22
Cisco IOS and IOS XE Software EnergyWise Denial of Service Vulnerabilities
CVE-2017-3860, CVE-2017-3861, CVE-2017-3862, CVE-2017-3863
CSCur29331, CSCut47751, CSCut50727, CSCuu76493
A Cisco IOS és IOS XE szoftver EnergyWise moduljában több magas besorolású sérülékenységet találtak, melyeket egy nem azonosított távoli támadó buffer túlcsordulást vagy a rendszer újraindulását idézheti elő, ami szolgáltatás megtagadás állapotot eredményez.
A sérülékenységet a rosszindulatúan szerkesztett EnergyWise csomagok nem megfelelő feldolgozása okozza. A támadó úgy tudja kihasználni a sérülékenységeket, hogy roszzindulatúan szerkeszstett EnergyWise csomagokat küld a támadott rendszernek. A sérülékenységek sikeres kihasználásával a támadó buffer túlcsordulást vagy a támadott rendszer újraindulását idézheti elő, ami szolgáltatás megtagadás állapotot eredményez.
A Cisco szoftver frissítést tett közzé a sérülékenységek javítására. Megelőző intézkedés nem áll rendelkezésre.