弱點名稱 |
Microsoft: Azure Managed Instance for Apache Cassandra Elevation of Privilege Vulnerability (Critical) |
► 摘要:Azure Managed Instance for Apache Cassandra 中存在存取控制不當漏洞,允許具布署User Defined Functions (UDF) 權限至Apache Cassandra cluster的攻擊者,透過傳送特製封包跳脫權限,以冒充受害者身分,進而取得極敏感資訊,甚至是攻擊者租戶以外的clusters。
► CVE 編號:CVE-2024-38175
► 受影響廠商:Microsoft
► 受影響產品:Azure Managed Instance for Apache Cassandra
► Azure Managed Instance for Apache Cassandra受影響。
► 請參閱Azure 官方文件 “Quickstart: Create a cluster – portal” 之Update Cassandra Version一節 說明進行,按主版本依序升級,從 3.11→4.0→4.1→5.0 進行修正。
► 修補說明:Microsoft於2024/08/20發布此漏洞。(詳細請參考:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38175) |
Microsoft: Entra ID Elevation of Privilege Vulnerability |
► 摘要:Decentralized Identity Services存在存取控制不當漏洞,未驗證的攻擊者可停用其他租戶的 Verifiable ID。
► CVE 編號:CVE-2024-43477
► 受影響廠商:Microsoft
► 受影響產品:Microsoft Entra ID
► 微軟已修正該問題,使用者無需採取任何措施。
► 修補說明:Microsoft於2024/08/22發布此漏洞。(詳細請參考:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43477) |
Cisco Unified Communications Manager Denial of Service Vulnerability |
► 摘要:Cisco Unified CM與Unified CM SME存在SIP訊息解析錯誤漏洞,未驗證的攻擊者可傳送特製SIP訊息到受影響裝置,導致裝置重新載入,造成通訊中斷,使語音和視訊裝置運作失常。(DoS)
► CVE 編號:CVE-2024-20375
► 受影響廠商:Cisco
► 受影響產品:Cisco Unified CM、Cisco Unified CM SME
► Cisco Unified CM、Cisco Unified CM SME 12.5(1)版本受影響,需更新至12.5(1)SU9版本。
► Cisco Unified CM、Cisco Unified CM SME 14版本受影響,需更新至14SU4版本。
► Cisco Unified CM、Cisco Unified CM SME 15版本受影響,需更新至15SU1版本。
► 修補說明:Cisco於2024/08/21發布此漏洞。(詳細請參考:https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-dos-kkHq43We) |
F5: BIND vulnerability CVE-2024-1737 |
► 摘要:F5的BIG-IP產品之DNS解析機制(使用BIND)存在一缺陷。其resolver caches和authoritative zone databases若存在大量相同名稱之資源記錄時(任何RTYPE),不論新增、更新,或處理查詢,效能會大輻下降。
► CVE 編號:CVE-2024-1737
► 受影響廠商:F5
► 受影響產品:BIG-IP (DNS)
► BIG-IP (DNS) 17.1.0 - 17.1.1、16.1.0 - 16.1.5、15.1.0 -15.1.10版本受影響,修補資訊待廠商
日後釋出。
► 緩解措施:限制儲存的記錄數量或啟用連線速率限制。
► 修補說明:F5於2024/08/17發布此漏洞,並於2024/08/22更新。(詳細請參考:https://my.f5.com/manage/s/article/K000140732)
|
F5: BIND vulnerability CVE-2024-1975 |
► 摘要:F5的BIG-IP產品之DNS解析機制(使用BIND)存在一缺陷。當DNS伺服器託管區域含有 “KEY” 資源記錄,或解析器 DNSSEC 驗證快取DNSSEC簽章網域中含有 “KEY” 資源記錄,攻擊者可藉由發送大量SIG(0) 數位簽章請求給伺服器,使CPU資源被耗盡,致使DNS (BIND) 無法正常回應。(DoS)
► CVE 編號:CVE-2024-1975
► 受影響廠商:F5
► 受影響產品:BIG-IP (DNS)
► BIG-IP (DNS) 17.1.0 - 17.1.1、16.1.0 - 16.1.5、15.1.0 -15.1.10版本受影響,修補資訊待廠商
日後釋出。
► 緩解措施:移除這兩種未使用的DNSKEY記錄:(1) 為相同區域提供服務,但未參與目前 DNSSEC
驗證的冗餘 DNSSEC DNSKEY資源記錄;(2) 不再需要的舊的、未使用的DNSKEY記錄。
► 修補說明:F5於2024/08/23發布此漏洞。(詳細請參考:https://my.f5.com/manage/s/article/K000140745)
|