Seuraava artikkeli auttaa sinua: Kriittinen haavoittuvuus iskee Magentoon avoimeen lähdekoodiin ja Adobe Commerceen
Adobe ilmoitti kriittisestä haavoittuvuudesta, joka vaikuttaa Adobe Commerceen ja Magentoon avoimeen lähdekoodiin. Adobe Commerce -kauppiaita vastaan on hyökätty ja haavoittuvuuden hyväksikäyttö on tällä hetkellä luonnossa.
Tärkeä yksityiskohta Adoben jakamassa haavoittuvuudessa on se, että todennusta ei tarvita onnistuneen hyväksikäytön onnistumiseen.
Tämä tarkoittaa, että hyökkääjän ei tarvitse hankkia käyttäjän kirjautumisoikeuksia voidakseen hyödyntää haavoittuvuutta.
Toinen Adoben jakama yksityiskohta tästä hyväksikäytöstä on, että järjestelmänvalvojan oikeuksia ei tarvita tämän haavoittuvuuden hyödyntämiseen.
Adoben haavoittuvuusarviot
Adobe julkaisi kolme haavoittuvuuksien luokitusmittaria:
- Common Vulnerability Scoring System (CVSS)
- Prioriteetti
- Haavoittuvuustaso
Common Vulnerability Scoring System (CVSS)
Common Vulnerability Scoring System (CVSS) on voittoa tavoittelemattoman organisaation kehittämä avoin standardi.First.org), joka perustuu haavoittuvuuksien arvioimiseen asteikolla 1-10.
Arvosana yksi on vähiten huolestuttava ja pistemäärä kymmenen on haavoittuvuuden korkein vakavuusaste.
Adobe Commercen ja Magenton haavoittuvuuden CVSS-pistemäärä on 9,8.
Haavoittuvuuden prioriteettitaso
Prioriteettimittarilla on kolme tasoa, 1, 2 ja 3. Taso 1 on vakavin ja taso 3 on vähiten vakava.
Adobe on listannut tämän hyväksikäytön prioriteettitasoksi 1, joka on korkein taso.
Tason 1 prioriteettitaso tarkoittaa, että haavoittuvuuksia hyödynnetään aktiivisesti verkkosivustoilla.
Tämä on pahin skenaario kauppiaille, koska se tarkoittaa, että Adobe Commercen ja Magenton korjaamattomat esiintymät ovat alttiina hakkerointiin.
Adoben määritelmä prioriteettitasolle 1 on:
“Tämä päivitys ratkaisee haavoittuvuudet, joihin tietyn tuoteversion ja alustan kohteena on tai joiden kohteena on suurempi riski joutua hyödyksi luonnossa.
Adobe suosittelee järjestelmänvalvojia asentamaan päivityksen mahdollisimman pian. (esimerkiksi 72 tunnin sisällä).
Haavoittuvuustaso
Adoben haavoittuvuustasoja kutsutaan kohtalaisiksi, tärkeiksi ja kriittisiksi, ja kriittiset edustavat vaarallisinta tasoa.
Adobe Commercen ja Magenton avoimen lähdekoodin hyväksikäytölle määritetty haavoittuvuustaso on luokiteltu kriittiseksi, mikä on vaarallisin luokitustaso.
Adoben määritelmä kriittisen arvosanan taso on:
“Haavoittuvuus, jota käytettynä sallisi haitallisen natiivikoodin suorittamisen, mahdollisesti käyttäjän tietämättä.”
Arbitrary Code Execution Exploit
Tämän haavoittuvuuden tekee erityisen huolestuttavan se, että Adobe myönsi sen olevan mielivaltaisen koodin suorittamisen haavoittuvuus.
Mielivaltainen koodin suorittaminen tarkoittaa yleensä sitä, että hyökkääjän suorittaman koodin laajuus ei ole rajoitettu, vaan se on avoin käytännössä mille tahansa koodille, jonka he haluavat suorittaakseen lähes minkä tahansa tehtävän tai komennon.
Satunnaisen koodin suorittamisen haavoittuvuus on erittäin vakava hyökkäystyyppi.
Mitä versioita tämä koskee
Adobe ilmoitti, että päivityskorjaus julkaistiin korjaamaan ongelmalliset ohjelmistoversiot.
The päivitä julkaisutiedot totesi:
“Korjaustiedostot testattiin ongelman ratkaisemiseksi kaikissa versioissa 2.3.3-p1 – 2.3.7-p2 ja 2.4.0 – 2.4.3-p1.”
Päähaavoittuvuusilmoituksessa todettiin, että tämä ei vaikuta Adobe Commercen versioihin 2.3.3 ja sitä vanhempiin.https://helpx.adobe.com/security/products/magento/apsb22-12.html
Adobe suosittelee, että ohjelmiston käyttäjät päivittävät asennuksensa välittömästi.
Lainaukset
Lue Adoben tietoturvatiedote
Tietoturvapäivitys saatavilla Adobe Commerce | APSB22-12
Lue Adobe Commercen ja Magenton avoimen lähdekoodin korjaustiedoston julkaisutiedot
Adobe Commerce APSB22-12 -tietoturvapäivitykset saatavilla
