Kritische Sicherheitslücken in Pure Storage FlashArray und FlashBlade

Pure Storage hat mehrere kritische Sicherheitslücken in den Purity-Versionen von FlashArray und FlashBlade identifiziert. Die Schwachstellen betreffen insbesondere die FlashArray Purity-Versionen 6.3 bis 6.4, während FlashBlade von den meisten Sicherheitslücken nicht betroffen ist. Die schwerwiegendsten Schwachstellen (CVE-2024-0001 und CVE-2024-0002) ermöglichen es Angreifern, erhöhte Privilegien zu erlangen oder remote auf das Array zuzugreifen. Beide Schwachstellen haben einen CVSS-Score von 10.0, was sie als kritisch einstuft.

Eine weitere Schwachstelle (CVE-2024-0005) betrifft sowohl FlashArray als auch FlashBlade und ermöglicht es böswilligen Nutzern, durch eine manipulierte SNMP-Konfiguration beliebige Befehle auszuführen. Pure Storage empfiehlt betroffenen Kunden dringend, ihre Purity-Software auf die neuesten Versionen zu aktualisieren, um die Risiken zu minimieren. Betroffene Versionen sind unter anderem Purity//FA 6.3.0 bis 6.4.10 für FlashArray und Purity//FB 4.1.0 bis 4.3.1 für FlashBlade.

Related Posts

RCE Schwachstellen in HPE Aruba Access Points gefunden

Hewlett Packard Enterprise (HPE) hat am 24. September 2024 einen Sicherheitshinweis (Document ID: hpesbnw04712) zu mehreren kritischen Schwachstellen in HPE Aruba Networking Access Points veröffentlicht. Die betroffenen Geräte laufen auf den Softwareversionen Instant AOS-8 und AOS-10. Die Schwachstellen (CVE-2024-42505, CVE-2024-42506, CVE-2024-42507) erlauben es Angreifern, durch speziell gestaltete Pakete über den PAPI-Protokoll-Port (UDP/8211) beliebige Befehle auf den Access Points auszuführen, was zu einer Remote-Code-Ausführung führen kann.

Read More

Sicherheitslücke in Versa Director (CVE-2024-45229) ermöglicht unautorisierte API-Zugriffe

Versa Networks hat am 20. September 2024 eine Sicherheitswarnung für eine Schwachstelle (CVE-2024-45229) im Netzwerk WAN Management Tool Versa Director veröffentlicht. Ein Cyberangreifer kann diese Schwachstelle ausnutzen, um unautorisierte REST-APIs aufzurufen. Die betroffene Komponente bietet APIs für Orchestrierung und Management, wobei einige dieser APIs standardmäßig keine Authentifizierung erfordern.

Read More

Neuer Gitlab Patch enthält Backport für SAML-Authentifizierungsumgehung Fix

Am 25. September 2024 veröffentlichte GitLab eine kritische Patch-Version für mehrere ältere Versionen, darunter 16.10.10, 16.9.11 und 16.8.10 für die Community Edition (CE) und Enterprise Edition (EE). Diese Updates enthalten wichtige Sicherheitsfixes, die bereits in den neueren Versionen 17.3.3 bis 16.11.10 adressiert wurden. Eine der behobenen Schwachstellen betrifft eine kritische SAML-Authentifizierungsumgehung (CVE-2024-45409), die es Angreifern ermöglichen könnte, den Authentifizierungsprozess zu umgehen und Zugriff zu erlangen.

Read More