Acronis, birden fazla üründeki güvenlik açıklarına ilişkin toplam on iki güvenlik tavsiyesi yayınladı. Güncel yazılımın bir süredir mevcut olduğu güvenlik açıklarını tanımlar ve bunları kapatırlar. Kullanıcılar kullandıkları ürünlerin güncel olup olmadığını kontrol etmelidir.
Duyuru
On iki güvenlik uyarısından dördü yüksek riskli olarak sınıflandırılan güvenlik açıklarıyla, yedisi orta tehdit olarak sınıflandırılan güvenlik açıklarıyla ve bir uyarı da düşük riskli olarak sınıflandırılan güvenlik açıklarıyla ilgilidir.
Acronis: yüksek riskli boşluklar
Şu anda üç ila yedi ay boyunca mevcut olan Acronis Cyber Windows sürümleri Acronis CyberProtect 15 Update 6, Cyber Protect Home Office Build 40278 ve Agent Update C23.02, en ciddi boşluğu dolduruyor. Bu ve sonraki sürümler, sürücü iletişim bağlantı noktasında saldırganların ayrıcalıklarını yükseltmesine olanak tanıyan güvenli olmayan bir ayrıcalık sızıntısını giderir (CVE-2023-41743, CVSS) 8.8risk”yüksek“). İletilen verilerin yetersiz filtrelenmesi nedeniyle, saldırganlar 6.2.23089.203 (CVE-2023-41746, CVSS) derlemesinden önce Windows için Acronis Cloud Manager’a komutlar ekleyebilirler. 8.0, yüksek).
Sistemdeki hakların genişletilmesi de mümkün oldu çünkü Acronis Cybver Protect 15, güncelleme 6’dan önce ve 22.10’dan önceki aracı, saldırganların kendi kodlarını daha yüksek haklarla enjekte etmesine olanak tanıyan imzasız kitaplıkları macOS’a yükledi ( CVE-2023-41744, CVSS) 7.8, yüksek). Kurulum sırasında, Windows için CyberProtect Home Office, 40278 oluşturmadan önce yumuşak bağlantıları yanlış işledi ve bu da sistemde ayrıcalık yükselmesine izin verdi (CVE-2022-46869, CVSS) 7.3, yüksek).
Geliştiriciler, diğer daha az riskli güvenlik açıklarını Linux, macOS ve Windows için Acronis Cyber Protect 15) Build 35979 ve Linux, macOS ve Windows için Acronis Agent) Build 35433 ile kapattı. Acronis kullanıcıları artık sürümleri daha erken yüklememeli, ancak ideal olarak mevcut yazılım sürümlerine yükseltin.
Güvenlik açıklarının listesi:
Duyuru
Güvenli olmayan sürücü iletişim bağlantı noktası izinleri nedeniyle yerel ayrıcalık artışı (CVE-2023-41743, CVSS) 8.8, yüksek)
Yanlış giriş doğrulama nedeniyle uzaktan komut yürütme (CVE-2023-41748, CVSS) 8.0, yüksek)
İmzasız kitaplıkların sınırsız yüklenmesi nedeniyle yerel ayrıcalık artışı (CVE-2023-41744, CVSS) 7.8, yüksek)
Uygun olmayan yazılım bağlantısı kullanımı nedeniyle kurulum sırasında yerel ayrıcalık artışı (CVE-2022-46869, CVSS) 7.3, yüksek)
Hatalı yazılım bağlantısı kullanımı nedeniyle geri yükleme sırasında yerel ayrıcalık artışı (CVE-2022-46868, CVSS) 6.7, orta)
Yanlış giriş doğrulama nedeniyle hassas bilgilerin ifşa edilmesi (CVE-2023-41747, CVSS) 6.5, orta)
Belirtecin geçerlilik süresinin hatalı doğrulanması nedeniyle hassas bilgilerin ifşa edilmesi (CVE-2023-41751, CVSS) 6.3, orta)
Aşırı Sistem Bilgisi Toplama Nedeniyle Hassas Bilgilerin İfşa Edilmesi (CVE-2023-41745, CVSS) 6.1, orta)
Günlük dosyaları aracılığıyla hassas bilgi sızıntısı (CVE-2023-4688, CVSS) 4.4, orta)
Aşırı Sistem Bilgisi Toplama Nedeniyle Hassas Bilgilerin İfşa Edilmesi (CVE-2023-41749, CVSS) 4.4, orta)
Kısıtlanmamış bir IP adresine bağlanma nedeniyle aşırı saldırı yüzeyi (CVE-2023-41742, CVSS) 4.3, orta)
Yetki eksikliği nedeniyle hassas verilerin ifşa edilmesi (CVE-2023-41750, CVSS) 3.3, Bas)
Yazılımın hala eski sürümlerini kullanıyorsanız, mevcut olan güncel sürümleri hemen indirip yüklemelisiniz.
Acronis True Image 2021’deki bir güvenlik açığı en son Şubat ayında fark edilmişti. Bu, saldırganların, üreticinin yüksek ve orta riskli olarak sınıflandırdığı sistemdeki haklarını genişletmesine olanak tanıdı.
(Bilmiyorum)
Haberin Sonu
Duyuru
On iki güvenlik uyarısından dördü yüksek riskli olarak sınıflandırılan güvenlik açıklarıyla, yedisi orta tehdit olarak sınıflandırılan güvenlik açıklarıyla ve bir uyarı da düşük riskli olarak sınıflandırılan güvenlik açıklarıyla ilgilidir.
Acronis: yüksek riskli boşluklar
Şu anda üç ila yedi ay boyunca mevcut olan Acronis Cyber Windows sürümleri Acronis CyberProtect 15 Update 6, Cyber Protect Home Office Build 40278 ve Agent Update C23.02, en ciddi boşluğu dolduruyor. Bu ve sonraki sürümler, sürücü iletişim bağlantı noktasında saldırganların ayrıcalıklarını yükseltmesine olanak tanıyan güvenli olmayan bir ayrıcalık sızıntısını giderir (CVE-2023-41743, CVSS) 8.8risk”yüksek“). İletilen verilerin yetersiz filtrelenmesi nedeniyle, saldırganlar 6.2.23089.203 (CVE-2023-41746, CVSS) derlemesinden önce Windows için Acronis Cloud Manager’a komutlar ekleyebilirler. 8.0, yüksek).
Sistemdeki hakların genişletilmesi de mümkün oldu çünkü Acronis Cybver Protect 15, güncelleme 6’dan önce ve 22.10’dan önceki aracı, saldırganların kendi kodlarını daha yüksek haklarla enjekte etmesine olanak tanıyan imzasız kitaplıkları macOS’a yükledi ( CVE-2023-41744, CVSS) 7.8, yüksek). Kurulum sırasında, Windows için CyberProtect Home Office, 40278 oluşturmadan önce yumuşak bağlantıları yanlış işledi ve bu da sistemde ayrıcalık yükselmesine izin verdi (CVE-2022-46869, CVSS) 7.3, yüksek).
Geliştiriciler, diğer daha az riskli güvenlik açıklarını Linux, macOS ve Windows için Acronis Cyber Protect 15) Build 35979 ve Linux, macOS ve Windows için Acronis Agent) Build 35433 ile kapattı. Acronis kullanıcıları artık sürümleri daha erken yüklememeli, ancak ideal olarak mevcut yazılım sürümlerine yükseltin.
Güvenlik açıklarının listesi:
Duyuru
Güvenli olmayan sürücü iletişim bağlantı noktası izinleri nedeniyle yerel ayrıcalık artışı (CVE-2023-41743, CVSS) 8.8, yüksek)
Yanlış giriş doğrulama nedeniyle uzaktan komut yürütme (CVE-2023-41748, CVSS) 8.0, yüksek)
İmzasız kitaplıkların sınırsız yüklenmesi nedeniyle yerel ayrıcalık artışı (CVE-2023-41744, CVSS) 7.8, yüksek)
Uygun olmayan yazılım bağlantısı kullanımı nedeniyle kurulum sırasında yerel ayrıcalık artışı (CVE-2022-46869, CVSS) 7.3, yüksek)
Hatalı yazılım bağlantısı kullanımı nedeniyle geri yükleme sırasında yerel ayrıcalık artışı (CVE-2022-46868, CVSS) 6.7, orta)
Yanlış giriş doğrulama nedeniyle hassas bilgilerin ifşa edilmesi (CVE-2023-41747, CVSS) 6.5, orta)
Belirtecin geçerlilik süresinin hatalı doğrulanması nedeniyle hassas bilgilerin ifşa edilmesi (CVE-2023-41751, CVSS) 6.3, orta)
Aşırı Sistem Bilgisi Toplama Nedeniyle Hassas Bilgilerin İfşa Edilmesi (CVE-2023-41745, CVSS) 6.1, orta)
Günlük dosyaları aracılığıyla hassas bilgi sızıntısı (CVE-2023-4688, CVSS) 4.4, orta)
Aşırı Sistem Bilgisi Toplama Nedeniyle Hassas Bilgilerin İfşa Edilmesi (CVE-2023-41749, CVSS) 4.4, orta)
Kısıtlanmamış bir IP adresine bağlanma nedeniyle aşırı saldırı yüzeyi (CVE-2023-41742, CVSS) 4.3, orta)
Yetki eksikliği nedeniyle hassas verilerin ifşa edilmesi (CVE-2023-41750, CVSS) 3.3, Bas)
Yazılımın hala eski sürümlerini kullanıyorsanız, mevcut olan güncel sürümleri hemen indirip yüklemelisiniz.
Acronis True Image 2021’deki bir güvenlik açığı en son Şubat ayında fark edilmişti. Bu, saldırganların, üreticinin yüksek ve orta riskli olarak sınıflandırdığı sistemdeki haklarını genişletmesine olanak tanıdı.
(Bilmiyorum)
Haberin Sonu