E proprio un bollettino di guerra i vari aggiornamenti che sono usciti nelle ultime ore che riguardano software Open che usiamo quotidianamente. Partiamo subito con il descrivere le vulnerabilità e le patch risolutive:
GIT
Rilasciati patch di correzione per GIT che risolvono due vulnerabilità classificate critiche. Il pericolo è l’esecuzione di codice albitrario malevolo. Si consiglia di aggiornare subito all’ultima versione disponibile.
Qui la fonte: https://seclists.org/oss-sec/2023/q1/34
APACHE HTTP Server
Rilevate tre vulnerabilità di cui una considerata alta, ad essere interessate sono le versioni precedenti alla 2.4.55 del server HTTP di Apache. Il rischio è la manipolazione dei dati. Correggete subito.
Qui la fonte: https://httpd.apache.org/security/vulnerabilities_24.html
Prodotti Mozilla
Mozilla ha rilasciato diverse patch di sicurezza di cui 5 gravi per i sui prodotti Firefox e Firefox ESR. La pericolosità è elevata e grave, un malintenzionato può eseguire queste azioni: Leggere file arbitrariamente, eseguire codice remoto, spoofing, carpire informazioni.
Le versioni affette sono: Firefox, le precedenti la versione 109; Firefox ESR, le precedenti la versione 102,7
Qui le fonti:
Firefox https://www.mozilla.org/en-US/security/advisories/mfsa2023-01/
Firefox ESR https://www.mozilla.org/en-US/security/advisories/mfsa2023-02/
SUDO
Anche il programma “SUDO” pare essere affetto a un problema legato al parametro “-e” (sudoeditor), sono stati rilasciati aggiornamenti per risolvere il problema. Un attaccante potrebbe venire a conoscenza di dati riservati, editare dati, scalare i privilegi.
La fonte della notizia: https://www.sudo.ws/security/advisories/sudoedit_any/
DRUPAL
Rilevate falle classificate “critiche” anche in Drupal, noto software CMS per il web. Le patch risolvono una vulnerabilità del Modulo Media Library”, sono interessate le versioni:
- 8.x
- 9.4.x, versioni precedenti alla 9.4.10
- 9.5.x, versioni precedenti alla 9.5.2
- 10.0.x, versioni precedenti alla 10.0.2
Si consiglia di aggiornare immediatamente. Drupal non da aggiornamenti per le versioni EOL
Qui la fonte: https://www.drupal.org/sa-core-2023-001
Per ora è tutto, segnatevi i software da correggere e… in campana!