Hoppa yfir valmynd

Alvarlegir veikleikar í WS_FTP netþjóna hugbúnaði

29. sep. 2023

Tilkynnt hefur verið um alvarlega veikleika í WS-FTP hugbúnaði frá Progress Software sem er keyrður á netþjónum (e. server) [1,2].  

CERT-IS vill vekja sérstaka athygli á eftirfarandi veikleikum:  

  • CVE-2023-40044 með CVSS einkunn 10.0 sem gerir ógnaraðila kleift að keyra kóða án auðkenningar (e. RCE) 
  • CVE-2023-42657 með CVSS einkunn 9.9 sem gerir ógnaraðila kleift að framkvæma skráarkerfisskipanir utan þess svæðis á skráarkerfinu sem hugbúnaðurinn hefur heimild til að vinna á (e. perform file operations outside the authorized folder path) 


Progress Software tilkynnti [2] um sex aðra veikleika með CVSS einkunn frá 5.3 til 8.3 og bendir á að uppfæra í útgáfu 8.8.2 þar sem gallarnir hafa verið lagfærðir.  

CERT-IS mælir með að lesa leiðbeiningar framleiðanda og uppfæra án tafar.  

 

Tilvísanir:  

[1] https://www.bleepingcomputer.com/news/security/progress-warns-of-maximum-severity-ws-ftp-server-vulnerability/
[2] https://community.progress.com/s/article/WS-FTP-Server-Critical-Vulnerability-September-2023