Hoppa yfir valmynd

Alvarlegir veikleikar í Zyxel, Gitlab og Apple

01. des. 2023

Tilkynnt var um nokkra alvarlega veikleika í NAS hjá Zyxel, CE/EE hjá Gitlab og iOS WebKit hjá Apple. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.

Alvarlegir veikleikar (e. critical)

Zyxel NAS

Tilkynnt var um nokkra veikleika í NAS326 og NAS542 hjá Zyxel (network-attached storage) tækjum og voru þrír af þeim (CVE-2023-35138, CVE-2023-4473, CVE-2023-4474) metnir alvarlegir (e. critical) með CVSSv3 einkunn upp á 9.8. Misnotkun á veikleikunum gera ógnaraðila kleift að framkvæma skipanir á stýrikerfi (e. OS commands) með því að nota tilbúið URL (e. crafted URL) [1,2].

Gitlab CE/EE

Gitlab hefur gefið út uppfærslu vegna alvarlegs veikleika sem að hefur áhrif á Gitlab CE og EE. Veikleikinn CVE-2023-6033 með CVSSv3 einkunn 8.7 felur í sér keyrslu JavaScript kóða í vafra notandans. Veikleikinn CVE-2023-6396 með CVSSv3 einkunn 8.1 felur í sér stigmögnun réttinda (e. privilege escalation) [3,4].

Apple Zero-day

Apple hefur gefið út hugbúnaðaruppfærslu fyrir iOS, iPadOS, macOS og Safari vegna tveggja núlldagsveikleika CVE-2023-42916 og CVE-2023-42917 í WebKit. Tilkynnt hefur verið um tilfelli sem veikleikinn hefur verið misnotaður og því mikilvægt að uppfæra sem fyrst í útgáfu þar sem veikleikinn hefur verið lagfærður [5].

Eftirfarandi kerfi eru veik fyrir göllunum:

Zyxel NAS326: V5.21(AAZF.14)C0 og eldri útgáfur
Zyxel NAS542: V5.21(ABAG.11)C0 og eldri útgáfur
Gitlab CE/EE: 15.10-16.6.1, 16.5 fyrir 16.5.3, 16.4 fyrir 16.4.3
iOS: <17.1.2 (iPhone XS og nýrri)
iPadOS: <17.1.2 (iPad Pro 12.9 2nd gen, iPad Pro 10.5, >=iPad Pro 11 1st gen, >=iPad Air 3rd gen, >=iPad 6th gen, >=iPad mini 5th gen)
macOS: <14.1.2 (Sonoma)
Safari: <17.1.2 (macOS Monterey og macOS Ventura)

Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:

Zyxel NAS326: V5.21(AAZF.15)C0
Zyxel NAS542: V5.21(ABAG.12)C0
Gitlab CE/EE: >16.6.1, >16.5.3, >16.4.3
iOS: 17.1.2 (iPhone XS og nýrri)
iPadOS: 17.1.2 (iPad Pro 12.9 2nd gen, iPad Pro 10.5, >=iPad Pro 11 1st gen, >=iPad Air 3rd gen, >=iPad 6th gen, >=iPad mini 5th gen)
macOS: 14.1.2 (Sonoma)
Safari: 17.1.2 (macOS Monterey og macOS Ventura)

Tilvísanir:

[1] https://www.bleepingcomputer.com/news/security/zyxel-warns-of-multiple-critical-vulnerabilities-in-nas-devices/ 
[2] https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-authentication-bypass-and-command-injection-vulnerabilities-in-nas-products 
[3] https://about.gitlab.com/releases/2023/11/30/security-release-gitlab-16-6-1-released/ 
[4] https://nvd.nist.gov/vuln/detail/CVE-2023-6033 
[5] https://thehackernews.com/2023/12/zero-day-alert-apple-rolls-out-ios.html