Octopus Security Advisory warnt vor kritischer Sicherheitslücke in Octopus Deploy

Am 2.4.24 hat Octopus Deploy hat einen Sicherheitshinweis veröffentlicht, der eine hochkritische Sicherheitslücke in der Deploy Automatisierung Octopus Server aufdeckt, die zu einer Rechteausweitung führen kann. Die Schwachstelle, identifiziert mit der CVE-ID CVE-2024-2975, betrifft Nutzer, die bestimmte Versionen des Octopus Servers unter Linux und Microsoft Windows installiert haben.

Entdeckt wurde das Problem am 20. Februar 2024, und bereits am 21. März 2024 wurde ein Patch veröffentlicht. Betroffen sind alle Versionen von Octopus Server 0.x.x bis 2024.2.x vor bestimmten Versionsnummern, einschließlich aller 2018.x.x bis 2023.x.x Versionen.

Die Sicherheitslücke wurde als hochkritisch eingestuft. Im Detail geht es um eine Race-Condition-Schwachstelle, die eine Rechteausweitung in bestimmten Konfigurationen ermöglicht. Kunden, die ihre Octopus Server auf Version 2024.1.12087 oder höher aktualisiert haben, sind von diesem Problem nicht betroffen.

Zur Behebung dieser Schwachstelle wurden neue Octopus Server-Versionen veröffentlicht, die das Problem adressieren: 2023.4.8432, 2024.1.12087 und 2024.2.2075. Octopus Deploy empfiehlt allen betroffenen Nutzern dringend, auf die neueste Version zu aktualisieren, um ihre Systeme zu schützen. Die aktuellsten Versionen können von der offiziellen Website heruntergeladen werden.

Tags :

Related Posts

AI Package Hallucination Angriffe nehmen zu

ChatGPT und Co. erfinden oft Software Dependencies die gar nicht existieren - Hacker nehmen diese Einladung dankend an und programmieren diese nach, incl. Malware Backdoor. Das Problem basiert auf sog. “AI Package Hallucination” und betrifft LLMs wie ChatGPT, die auf Grund Ihrer Art zu antworten oft auch ursprünglich nicht existierende Softwarepakete empfehlen. Ein Bericht von Lasso Security zeigt, dass teilweise 30 Tausend Downloads auf ein hallzuniertes Software Paket (huggingface-cli statt huggingface-hub) existierten, das es so nie hätte geben dürfen.

Read More

Bitdefender Total Security: Schwachstelle ermöglicht Rechteausweitung

Am 1.4.24 meldete Bitdefender eine schwere Sicherheitslücke in verschiedenen Bitdefender-Produkten , die es Angreifern ermöglicht, eine lokale Rechteausweitung (Local Privilege Escalation) durchzuführen. Betroffen sind die Versionen 27.0.25.114 von Bitdefender Total Security, Bitdefender Internet Security, Bitdefender Antivirus Plus sowie Bitdefender Antivirus Free.

Read More

Nach Malware Flut: PyPi setzt Neuregistrierung aus

Der Python-Packet-Infrastruktur Anbieter PyPi meldete am 28. März 2024, dass die Neuregistrierung von Benutzern und die Erstellung neuer Projekte auf dem Python Package Index (PyPI) vorübergehend ausgesetzt wurden. Diese Maßnahme wurde ergriffen, um eine laufende Malware-Upload-Kampagne zu bekämpfen, die auf einer Technik namens Typosquatting beruht.

Read More