James Walker 27 Temmuz 2022, 12:49 UTC
Güncelleme: 27 Temmuz 2022, 12:52 UTC
Güvenlik sürümü, Logback kitaplığındaki potansiyel Log4j benzeri kusur için önlem yamaları da içerir
Çeşitlendirilmiş teknoloji ve altyapı yazılımı sağlayıcısı Open-Xchange, OX App Suite’i etkileyen çeşitli güvenlik açıkları için düzeltmeler yayınladı.
Yerinde bir çözüm olarak veya kuruluşun bulut teklifinin bir parçası olarak sunulan OX App Suite, telekomünikasyon şirketleri, web barındırma firmaları ve hizmet sağlayıcılar için tasarlanmış güvenli e-posta ve işbirliği yazılımıdır.
En son yama sürümü, yazılımın belge dönüştürücü bileşeninde keşfedilen iki uzaktan kod yürütme (RCE) güvenlik açığı için düzeltmeler içeriyor. CVE-2022-23100 ve CVE-2022-24405, sırasıyla 8.2 ve 7.3 CVSS puanları kazandı.
Belge dönüştürücü API’sinin ayrıca, saldırganların sınırları tahmin etmesine ve içeriğinin üzerine yazmasına olanak tanıyan bir sunucu tarafı istek sahteciliği (SSRF) güvenlik açığı (CVE-2022-24406) barındırdığı da bulundu.
Önleyici yamalar
Önem derecesi listesinin daha aşağısında, OX App Suite’i (CVE-2022-23099, CVE-2022-23101) etkileyen iki siteler arası komut dosyası (XSS) kusuru bulunmaktadır. Bu kusurlardan yararlanmak için, bir saldırganın kurbanı kötü niyetli bir bağlantıya tıklamaya zorlaması gerekir.
Geçen Aralık ayında küresel yazılım geliştirme endüstrisini sarsan Log4Shell sorununun ardından OX App Suite, Logback bileşenindeki (CVE-2021-42550) benzer bir olası sorunu ele alan bir güncelleme de içeriyor.
BUNU DA BEĞENEBİLİRSİN Cisco, Nexus Dashboard’da tehlikeli hata üçlüsünü yamalar
Open-Xchange güvenlik danışma belgesinde, “Varsayılan yapılandırmasında, OX App Suite bu güvenlik açığından etkilenmez ve güvenlik açığı bulunan bir yapılandırmanın dağıtılmasını gerektiren hiçbir senaryo yoktur.”
“Bu güncellemeyi kesinlikle bir güvenlik açığı olasılığını azaltmak için bir önlem olarak sağlıyoruz. Bu noktada CVE-2021-42550’den yararlanmak, sistem yapılandırmasını değiştirmek için ayrıcalıklı erişim gerektirir.”
Harici giriş
Open-Xchange CISO Martin Heiland, şirketin hata ödül programının bir parçası olarak güvenlik açıklarının keşfedilip keşfedilmediği sorulduğunda, şunları söyledi: Günlük Swig: “Bu tavsiye için 50/50 bir şeydi. Dahili araştırmamız için ilham kaynağı olarak hata ödül programından gelen girdileri kullanıyoruz.
“Bu durumda, ödül programı aracılığıyla bildirilen görünüşte ‘orta’ bir sorunun tam etkisi, kapsamlı bir inceleme sürecine ve olası bir uzaktan kod yürütme kusurunun keşfedilmesine yol açtı.”
Güvenlik açıklarıyla ilgili en son haberleri okuyun
Heiland şunları ekledi: “Dahili incelemeleri harici girdilerle birleştirmek, programımızı çok etkili kılıyor ve mühendislik ekiplerimizin sürekli öğrenmesine ve zorlanmasına yardımcı oluyor. Yaklaşık altı yıldır bug bounty programını yürütüyorum ve web uygulamalarımız için çok başarılı oldu.”
Güvenlik açıkları, OX App Suite 7.10.6 ve önceki sürümlerini etkiler. Hepsi satıcı tarafından çeşitli şube güncellemelerinde düzeltildi.
Heiland, “Çoğu kullanıcı otomatik dağıtımı çalıştırıyor ve kendi barındırılan hizmetimiz, çok hızlı güncellemelere izin veren ‘bulutta yerel’ otomasyon/düzenleme kullanıyor” dedi. “Elbette, dağıtım yönteminden bağımsız olarak mümkün olan en kısa sürede güncelleme yapmanızı öneririz.”
ÖNERİLEN FileWave MDM kimlik doğrulamasını atlama hataları, yönetilen cihazları kaçırma riskine maruz bırakır