image

Amerikaanse overheid moet Chrome- en Redis-lekken voor 18 april patchen

dinsdag 29 maart 2022, 14:03 door Redactie, 1 reacties

Federale Amerikaanse overheidsinstanties moeten actief aangevallen kwetsbaarheden in Google Chrome en Redis, alsmede dertig andere beveiligingslekken, voor 18 april patchen, zo heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bepaald.

Redis is een cachingoplossing die als databaseserver kan worden gebruikt of kan helpen om de prestaties van databases te verbeteren. Op 18 februari verscheen er een beveiligingsupdate voor een kritieke kwetsbaarheid die remote code execution mogelijk maakt. De impact van het beveiligingslek, aangeduid als CVE-2022-0543, is op een schaal van 1 tot en met 10 met een 10.0 beoordeeld. Onlangs werd bekend dat een botnet misbruik van de kwetsbaarheid maakt. Afgelopen vrijdag kwam Google met een noodpatch voor een actief aangevallen zerodaylek in Chrome.

Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste toevoeging bestaat uit 32 kwetsbaarheden. Alleen de lekken in Chrome en Redis zijn van dit jaar. Het grootste deel, onder andere in Adobe Reader, Mozilla Firefox, Oracle Java en Windows, is al jaren oud.

Reacties (1)
29-03-2022, 14:25 door Anoniem

Redis is een cachingoplossing die als databaseserver kan worden gebruikt of kan helpen om de prestaties van databases te verbeteren. Op 18 februari verscheen er een beveiligingsupdate voor een kritieke kwetsbaarheid die remote code execution mogelijk maakt. De impact van het beveiligingslek, aangeduid als CVE-2022-0543, is op een schaal van 1 tot en met 10 met een 10.0 beoordeeld.

Zal wel aan mij liggen maar 10.0 voor een Debian specifiek "packaging issue"? Debian's Redis bind standaard sockets aan de 127.0.0.1 loopback node? Redis drops uid/gid? 10.0 lijkt me overdreven... Waarschijnlijk standaard gekoppeld aan "remote code execution"...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.