کمیته رکن چهارم – در چهارمین هفته فروردین ماه، شرکتهای اوراکل، برودکام و سیسکو و بنیادهای آپاچی و دروپل اقدام به انتشار اصلاحیه و توصیهنامه امنیتی برای برخی از محصولات خود کردند.
در این هفته، بنیاد نرمافزاری آپاچی، با انتشار بهروزرسانی امنیتی، یک آسیبپذیری به شناسه CVE-2019-0232 را در نرمافزار Apache Tomcat ترمیم و اصلاح کرد. بهرهجویی از این آسیبپذیری، مهاجم را قادر به در اختیار گرفتن کنترل سیستم بهصورت از راه دور میکند. توصیهنامه آپاچی در این خصوص در اینجا قابل دسترس است.
اوراکل طبق برنامه زمانبندی شده سهماهه خود، سهشنبه، ۲۷ فروردین، با انتشار بهروزرسانیهای امنیتی، در مجموع، ۲۹۷ آسیبپذیری را که درجه اهمیت ۵۳ مورد از آنها “حیاتی” (Critical) گزارش شده در دهها محصول ساخت این شرکت ترمیم و اصلاح کرد. جزییات بیشتر در اینجا قابل مطالعه است.
چهارشنبه نیز گروه پاسخگویی حوادث رایانهای آمریکا در گزارشی از وجود ضعفهایی در راهانداز مجموعه تراشههای Broadcom WiFi خبر داد که سوءاستفاده از برخی از آنها منجر به تسخیر سیستم توسط مهاجم حتی بهصورت از راه دور میشود. در گزارش از راهبران و مدیران شبکه خواسته شده تا با نصب بهروزرسانیهای مربوطه نسبت به ترمیم ضعفهای امنیتی مذکور اقدام کنند. مشروح این گزارش در اینجا قابل دریافت است.
سیسکو دیگر شرکتی بود که در این هفته اقدام به انتشار بهروزرسانی امنیتی کرد. بهروزرسانی ارائه شده ضعفی با درجه اهمیت “حیاتی” را در نسخه ۶۴ بیتی سیستم عامل IOS XR ترمیم میکند که با بهرهجویی از آن مهاجم میتواند کد دلخواه خود را بر روی سیستم آسیبپذیر به اجرا درآورد. توضیحات کامل در مورد بهروزرسانی مذکور در اینجا قابل دسترس است.
۲۸ فروردین، بنیاد دروپل، چندین ضعف امنیتی را در نرمافزار مدیریت محتوای Drupal ترمیم و اصلاح کرد. بهرهجویی از برخی از ضعفهای مذکور، مهاجم را قادر به در اختیار گرفتن کنترل سیستم آسیبپذیر میکند. توضیحات کامل در اینجا و اینجا قابل مطالعه است.
همچنین در این هفته مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای کشور (ماهر) در سه مقاله به آسیبپذیری انکار سرویس (DoS) در تجهیزات میکروتیک، نقص جدید آپاچی و تأثیر آن بر دو میلیون سرور HTTP و رفع آسیبپذیریهای مسیریابهای RV320 و RV325 توسط سیسکو پرداخت که مشروح آنها در لینکهای زیر قابل دریافت است:
