HCL, Bigfix Platformu, Devops Deploy and Launch (UCD) ürünleri için güncellemeler yayınladı. Bazı kritik güvenlik boşluklarını dolduruyorlar. BT yöneticileri hızla güncel olduklarından emin olmalıdır.
Duyuru
Güvenlik duyurusuna göre HCL, Bigfix platformundaki sekiz güvenlik açığını tek başına kapatıyor. Üçüncü taraf cURL yazılımını etkileyen kritik bir sorun; saldırganlar, SOCKS5 bağlantılarını işlerken kötü amaçlı kodlara gizlice sızmak için arabellek taşmasını kötüye kullanabilirler (CVE-2023-38545, CVSS) 9.8“Risk”eleştirmen“). Diğer boşluklar Bigfix kaynak koduyla ilgilidir. Geçerli temel kimlik doğrulamasına sahip saldırganlar, bir boşluk nedeniyle hassas kullanıcı bilgilerine yetkisiz erişim sağlayabilir (CVE-2024-23553, CVSS) 8.2, yüksek).
HCL Bigfix platformundaki ek güvenlik açıkları
Ek olarak, HCL geliştiricileri web raporlarındaki siteler arası komut dosyası çalıştırma güvenlik açığını orta düzey bir tehdit olarak sınıflandırıyor (CVE-2023-37528, CVSS) 6.5, orta). Bileşen ayrıca, saldırganların bir uygulama oturumunda veya veritabanında JavaScript kodu yürütmesine olanak tanıyan, siteler arası komut dosyası çalıştırma güvenlik açığını da içeriyordu (CVE-2023-37527, CVSS) 5.4, orta). HCL diğer güvenlik açıklarını düşük riskli olarak sınıflandırır.
HCL herhangi bir geçici güvenlik önleminden bahsetmemektedir. 11.0.1, 10.0.11 ve 9.5.24 sürümlerine yapılan güncellemeler güvenlik açıklarını giderir. Yöneticiler konsolda ilgili güncelleme düzeltme eki çözümlerini aramalı, başlatmalı ve uygulamalıdır.
HCL Devops'un (UCD) dağıtımı ve başlatılmasındaki boşluklar
Ek olarak HCL, Devops Deploy and Launch'ta (UCD) 8.0.0.1, 7.3.2.4, 7.2.3.9, 7.1.2.16 ve 7.0.5.20 2023 sürümleriyle sağlanan Apache Tomcat (CVE) sunucusundaki HTTP istek kaçakçılığı açığını kapatır – 46589, CVSS 6.5, orta). Windows Agent bir hizmet olarak yüklenirse saldırganlar hassas kullanıcı bilgilerini sızdırabilir (CVE-2024-23550, CVSS 6.2, orta). Her iki güvenlik açığının güncellenmiş sürümleri, kaydolduktan sonra erişilebilen HCL İndirme Merkezi'nde bulunabilir.
(Bilmiyorum)
Haberin Sonu
Duyuru
Güvenlik duyurusuna göre HCL, Bigfix platformundaki sekiz güvenlik açığını tek başına kapatıyor. Üçüncü taraf cURL yazılımını etkileyen kritik bir sorun; saldırganlar, SOCKS5 bağlantılarını işlerken kötü amaçlı kodlara gizlice sızmak için arabellek taşmasını kötüye kullanabilirler (CVE-2023-38545, CVSS) 9.8“Risk”eleştirmen“). Diğer boşluklar Bigfix kaynak koduyla ilgilidir. Geçerli temel kimlik doğrulamasına sahip saldırganlar, bir boşluk nedeniyle hassas kullanıcı bilgilerine yetkisiz erişim sağlayabilir (CVE-2024-23553, CVSS) 8.2, yüksek).
HCL Bigfix platformundaki ek güvenlik açıkları
Ek olarak, HCL geliştiricileri web raporlarındaki siteler arası komut dosyası çalıştırma güvenlik açığını orta düzey bir tehdit olarak sınıflandırıyor (CVE-2023-37528, CVSS) 6.5, orta). Bileşen ayrıca, saldırganların bir uygulama oturumunda veya veritabanında JavaScript kodu yürütmesine olanak tanıyan, siteler arası komut dosyası çalıştırma güvenlik açığını da içeriyordu (CVE-2023-37527, CVSS) 5.4, orta). HCL diğer güvenlik açıklarını düşük riskli olarak sınıflandırır.
HCL herhangi bir geçici güvenlik önleminden bahsetmemektedir. 11.0.1, 10.0.11 ve 9.5.24 sürümlerine yapılan güncellemeler güvenlik açıklarını giderir. Yöneticiler konsolda ilgili güncelleme düzeltme eki çözümlerini aramalı, başlatmalı ve uygulamalıdır.
HCL Devops'un (UCD) dağıtımı ve başlatılmasındaki boşluklar
Ek olarak HCL, Devops Deploy and Launch'ta (UCD) 8.0.0.1, 7.3.2.4, 7.2.3.9, 7.1.2.16 ve 7.0.5.20 2023 sürümleriyle sağlanan Apache Tomcat (CVE) sunucusundaki HTTP istek kaçakçılığı açığını kapatır – 46589, CVSS 6.5, orta). Windows Agent bir hizmet olarak yüklenirse saldırganlar hassas kullanıcı bilgilerini sızdırabilir (CVE-2024-23550, CVSS 6.2, orta). Her iki güvenlik açığının güncellenmiş sürümleri, kaydolduktan sonra erişilebilen HCL İndirme Merkezi'nde bulunabilir.
(Bilmiyorum)
Haberin Sonu