- 13,853
- 20
- 8 Ноя 2022
Критические недостатки были исправлены, но вопросы к компании ещё остались...
SolarWinds, известный разработчик программного обеспечения для управления IT-инфраструктурой, Для просмотра ссылки Войдиили Зарегистрируйся для устранения Для просмотра ссылки Войди или Зарегистрируйся , позволяющих произвести удалённое выполнение кода ( RCE ) в своём продукте Access Rights Manager (ARM). Среди них три уязвимости оценены как критические, так как могут быть эксплуатированы без аутентификации.
ARM используется компаниями для управления и аудита прав доступа в их IT-инфраструктурах, что позволяет минимизировать риски, связанные с угрозами со стороны внутренних пользователей.
Две критические уязвимости Для просмотра ссылки Войдиили Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся (оценки по CVSS 9.6) связаны с недостатками обхода пути (Path Traversal), а третья под идентификатором Для просмотра ссылки Войди или Зарегистрируйся (оценка по CVSS 9.0) — с небезопасной десериализацией (Deserialization of Untrusted Data). Все три вышеописанных уязвимости могут быть использованы неаутентифицированными атакующими для выполнения кода на целевых системах, которые не были обновлены до безопасной версии ПО.
Ещё две уязвимости под идентификаторами Для просмотра ссылки Войдиили Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся (7.9 и 8.0 баллов по CVSS) также могут быть использованы для RCE-атак и классифицируются как проблемы высокой степени опасности.
Все уязвимости были обнаружены независимыми исследователями в рамках инициативы Zero Day Initiative ( ZDI ) от компании Trend Micro .
Обновление Access Rights Manager 2023.2.3, Для просмотра ссылки Войдиили Зарегистрируйся , включает исправления всех пяти уязвимостей, перечисленных выше, а также дополнительные улучшения безопасности. Представитель SolarWinds сообщил, что компания не получала сообщений о реальной эксплуатации этих уязвимостей в «дикой природе».
Разработчики отработали без претензий, быстро закрыв критические недостатки безопасности в своём продукте, за что SolarWinds можно только похвалить. А вот за что компанию похвалить нельзя, так это за то, что ей Для просмотра ссылки Войдиили Зарегистрируйся , в чём комиссия по ценным бумагам и биржам США (SEC) обвиняла SolarWinds в октябре прошлого года.
SolarWinds, известный разработчик программного обеспечения для управления IT-инфраструктурой, Для просмотра ссылки Войди
ARM используется компаниями для управления и аудита прав доступа в их IT-инфраструктурах, что позволяет минимизировать риски, связанные с угрозами со стороны внутренних пользователей.
Две критические уязвимости Для просмотра ссылки Войди
Ещё две уязвимости под идентификаторами Для просмотра ссылки Войди
Все уязвимости были обнаружены независимыми исследователями в рамках инициативы Zero Day Initiative ( ZDI ) от компании Trend Micro .
Обновление Access Rights Manager 2023.2.3, Для просмотра ссылки Войди
Разработчики отработали без претензий, быстро закрыв критические недостатки безопасности в своём продукте, за что SolarWinds можно только похвалить. А вот за что компанию похвалить нельзя, так это за то, что ей Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
