İlerleme, çok kiracılı (MT) hipervizör de dahil olmak üzere yük yöneticisi ürün hattını etkileyen birden fazla kritik güvenlik açıklığını açıklamıştır.
CVE-2024-56131, CVE-2024-56132, CVE-2024-56133, CVE-2024-56135 ve CVE-2024-56135 olarak tanımlanan bu güvenlik açıkları, saldırganların keyfi sistem komutları veya erişim hassas dosyaları yürütmesine izin verir.
Hiçbir sömürü raporu ortaya çıkmamış olsa da, müşteriler potansiyel riskleri azaltmak için sistemlerini derhal güncellemeleri şiddetle tavsiye edilir.
LoadMaster Güvenlik Açıkları
CVE-2024-56131 / CVE-2024-56132 / CVE-2024-56133 / CVE-2024-56135
Bu güvenlik açıkları, LoadMaster Management arayüzündeki yanlış giriş validasyonundan kaynaklanmaktadır.
Kimliği doğrulanmış saldırganlar, keyfi işletim sistemi (OS) komutlarını yürütmek için özel olarak hazırlanmış HTTP istekleri göndererek bu kusurları kullanabilir.
Kök neden, daha katı giriş doğrulama mekanizmaları uygulayarak en son ürün yazılımı güncellemelerinde ilerleme kaydedilen kullanıcı girişinin yetersiz dezenfekte edilmesinde yatmaktadır.
CVE-2024-56134
Bu güvenlik açığı, kimlik doğrulamalı saldırganların hazırlanmış bir HTTP isteği vererek sistemdeki herhangi bir dosyanın içeriğini indirmelerini sağlar.
Diğer güvenlik açıkları gibi, bu sorun gelişmiş girdi dezenfektanlığı ile hafifletildi.
Güvenlik açıkları, OS komut enjeksiyonu potansiyeli ve yönetim arayüzü erişimi olan kimlik doğrulamalı kullanıcılar tarafından yetkisiz dosya erişimi nedeniyle yüksek şiddetli olarak sınıflandırılır.
Aktif sömürü bildirilmemesine rağmen, güncellemelerin gecikmesi sistemleri saldırılara karşı savunmasız bırakabilir.
Etkilenen sürümler ve düzeltmeler
Güvenlik açıkları, mevcut yük yöneticisi sürümlerini ve çok kiracılı Loadmaster (MT) hipervizörünün belirli sürümlerini etkiler. Aşağıda etkilenen ve yamalı versiyonların bir özeti:
Çok kiracılı LoadMaster kullanıcıları için, hem Sunumlu Sanal Ağ İşlevleri (VNFS) hem de MT hipervizör/yönetici düğümü, sürümleri güvenli bir şekilde güncellenmelidir.
Tavsiye
Bu güvenlik açıklarını ele almak için:
İlerleme bilgi tabanı veya resmi destek portalından yamalı ürün yazılımı sürümlerini indirin ve yükleyin.
- LoadMaster için: 7.2.61.0 (GA) veya 7.2.54.13 (LTSF) sürümüne yükseltin.
- Çok kiracılı LoadMaster için: 7.1.35.13 (GA) sürümüne yükseltin.
İlerleme, gelişmiş girdi sterilizasyon teknikleri aracılığıyla bu kritik güvenlik kusurlarını çözen güncellemeleri yayınlayarak hızlı işlem gördü.
Müşterilere sistem yükseltmelerine hemen öncelik vermeleri ve ortamlarını potansiyel tehditlere karşı güvence altına almak için en iyi uygulamalara uymaları önerilir.
PCI DSS 4.0 ve Tedarik Zinciri Saldırısı Önleme – Ücretsiz Web Semineri