Esta semana falaremos sobre uma vulnerabilidade crítica nos Serviços de Segurança de Redes da Mozilla, a última consultoria de segurança da Netgear, uma vulnerabilidade no editor de texto Vim e uma ferramenta bastante nova que você pode usar para auditar seus pacotes Python .
Mozilla NSS RCE (CVE-2021-43527)
O NSS(Network Security Services ) da Mozilla é um conjunto de bibliotecas projetadas para suportar o desenvolvimento entre plataformas de aplicativos de cliente e servidor habilitados para segurança. Ele fornece uma implementação abrangente de código aberto de muitos padrões de segurança da Internet e é usado em vários produtos Mozilla.
Em 1º de dezembro, a RedHat lançou uma declaração avisando aos usuários deste pacote que ele era vulnerável a uma vulnerabilidade de execução de código remoto. De acordo com a declaração, ela tem um impacto crítico (CVSS: 8.8) sobre os sistemas afetados, e atualmente não há métodos práticos de mitigação desta vulnerabilidade. A RedHat recomenda a atualização dos pacotes afetados o mais rápido possível.
Superfície de ameaça que se estende de casa para o escritório
A Netgear lançou recentemente uma consultoria de segurança afirmando que estava ciente de duas vulnerabilidades de segurança que afetavam vários de seus produtos, incluindo roteadores, modems, sistemas de rede WiFi e extensores WiFi. Uma das vulnerabilidades permite a injeção de comandos pós-autenticação, resultando na divulgação de informações sensíveis. A Netgear recomenda fortemente a seus clientes que atualizem o firmware para os dispositivos afetados o mais rápido possível.
Com muitos funcionários trabalhando remotamente e conectados à infra-estrutura de seu empregador, é crucial garantir que os componentes que facilitam a comunicação entre os dispositivos dos funcionários e as redes das empresas sejam confiáveis e seguros. Comprometer um elo fraco nesta cadeia pode permitir que os atacantes neguem os esforços das empresas para proteger seus sistemas. Os atacantes podem aproveitar as vulnerabilidades dos equipamentos de rede de propriedade dos funcionários e, em última instância, causar interrupções de serviço, perda de dados e até mesmo violações de segurança.
Vim Editor Buffer Overflow (CVE-2021-4019)
Como descrito pela atualização do Fedora, Vim (VIsual editor iMproved) é uma versão atualizada e melhorada do editor do Vi. Vim é uma ferramenta freqüentemente usada, e é empacotada com a maioria das distribuições Linux. Versões do Vim anteriores a 8.2.3669 foram recentemente descobertas como suscetíveis a uma exploração de buffer overflow. Quando explorada, esta vulnerabilidade pode causar falhas de software, modificação de memória ou execução arbitrária de código.
Auditoria de tubulações
Pip (pip instala pacotes) é o instalador de pacotes para a linguagem de programação Python . Você pode usar pip para instalar pacotes a partir do índice de pacotes Python (PyPI) e outros índices. Por outro lado, o Pip-audit é uma ferramenta recém-desenvolvida para escanear ambientes Python em busca de pacotes com vulnerabilidades conhecidas. Achamos que o pip-audit é uma ótima ferramenta que nossos clientes podem usar para acompanhar os pacotes usados em seus ambientes de desenvolvimento e auditar continuamente as vulnerabilidades desses pacotes à medida que são descobertos.
Estamos sempre ansiosos para compartilhar nosso conhecimento com nossos clientes e amantes do Linux. Fique à vontade para deixar um comentário abaixo se você tiver alguma sugestão, feedback ou conhecimento que deseja compartilhar com a comunidade.
Comentários