Spin-off dasar sungai Aternity mengirimkan patch perangkat lunak darurat – Keamanan – Perangkat Lunak
Technology

Spin-off dasar sungai Aternity mengirimkan patch perangkat lunak darurat – Keamanan – Perangkat Lunak

Spin-off pemantauan kinerja Riverbed, Aternity, telah menerbitkan tujuh saran keamanan yang menjelaskan kerentanan yang sekarang ditambal dalam perangkat lunak agen pemantauan AppInternals.

Bug yang paling serius memberi penyerang eksekusi kode jarak jauh dengan hak istimewa tingkat sistem.

Para peneliti dari Grup Keamanan Siber Pemerintah Singapura menganalisis Agen AppInternals Riverbed SteelCentral, menemukan enam kerentanan di Agen Pengambilan Sampel Dinamis dan satu di titik akhir /DsaDataTest Agen AppInternals.

Perangkat lunak agen disebarkan pada mesin pusat data untuk mengumpulkan data kinerja yang kemudian dikembalikan menggunakan HTTP melalui Port 2111, sehingga operator dapat memperoleh tampilan kinerja sistem yang seragam.

Ini dirancang untuk memantau lingkungan cloud modern berdasarkan – atau menggunakan elemen – Docker, Kubernetes, Pivotal, Red Hat OpenShift, OpenStack, Amazon Web Services, Google Cloud Platform, dan Azure.

Riverbed telah mengirimkan AppInternals Agent versi 11.8.8 dan 12.14.0, yang menyertakan tambalan untuk bug.

Empat dari bug dinilai kritis.

Untuk setiap bug kritis – CVE-2021-42786, CVE-2021-42787, CVE-2021-42853, dan CVE-2021-42854, serta CVE-2021-42857 dengan tingkat keparahan sedang – para peneliti menemukan bahwa kurangnya validasi input memungkinkan penyerang untuk menyuntikkan kode berbahaya.

CVE-2021-42855 adalah bug eskalasi hak istimewa lokal, dan CVE-2021-42856 memungkinkan serangan skrip lintas situs yang direfleksikan.

Untuk yang berpikiran teknis, salah satu peneliti, Kang Hao Leng, merinci proses perburuan bug para peneliti di sini.

Posted By : pengeluaran hk hari ini 2021