Aggiornamenti recenti Dicembre 4th, 2024 9:00 AM
Nov 14, 2022 Dario Orlandi News, Vulnerabilità 0
I ricercatori della Unit 42 di Palo Alto Networks hanno annunciato l’individuazione di tre diverse vulnerabilità nel server Web open source OpenLiteSpeed; LiteSpeed è un server web ottimizzato per garantire prestazioni elevate; secondo le analisi di Palo Alto Networks, le istanze del server online sono quasi due milioni, pari al 2% di tutti i Web server installati.
Sfruttando e combinando queste vulnerabilità, che sono presenti sia nella versione open source del server sia in quelle aziendali, un attaccante potrebbe ottenere un accesso completo al server, con i diritti di esecuzione illimitati.
Il punto di partenza del test di penetrazione svolto dai ricercatori è stato un semplice accesso alla dashboard di amministrazione; partendo da questa premessa, i ricercatori hanno scoperto che l’interfaccia era vulnerabile a una tecnica di command injection, sfruttabile poi per effettuare una privilege escalation per eseguire codice con diritti di root.
Sempre nel corso dello stesso audit, i ricercatori hanno individuato anche un’ulteriore vulnerabilità che potrebbe consentire la navigazione tra le directory (directory traversal) per raggiungere file teoricamente inaccessibili che si trovano nella cartella radice del sito web.
Tutte le vulnerabilità sono state comunicate agli sviluppatori che hanno prontamente provveduto a risolverle, con le patch 1.7.16.1 per OpenLiteSpeed e 6.0.12 per LiteSpeed. Inoltre, gli sviluppatori hanno anche modificato il repository di Docker.
Per mettere al sicuro un’installazione LiteSpeed non bisogna quindi far altro che aggiornare il software all’ultima versione disponibile.
Nov 25, 2024 0
Nov 25, 2024 0
Nov 21, 2024 0
Nov 18, 2024 0
Dic 04, 2024 0
Dic 03, 2024 0
Dic 02, 2024 0
Dic 02, 2024 0
Dic 04, 2024 0
Le festività e gli weekend sono i periodi peggiori per le...Dic 02, 2024 0
L’Italia continua a essere uno dei Paesi più colpiti...Nov 27, 2024 0
Ingecom, fondata nel 1996 a Bilbao, è un distributore a...Nov 25, 2024 0
Di recente CISA ha pubblicato la classifica delle...Nov 25, 2024 0
Ora che l’intelligenza artificiale è entrata a far...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Dic 04, 2024 0
Le festività e gli weekend sono i periodi peggiori per...Dic 03, 2024 0
I ricercatori di 0patch, piattaforma per la distribuzione...Dic 02, 2024 0
L’Italia continua a essere uno dei Paesi più colpiti...Dic 02, 2024 0
Nel corso di questa settimana, il CERT-AGID ha identificato...Nov 28, 2024 0
Le crescenti perdite finanziarie dovute ai cyber-attacchi...