安全发布还包括对日志库中潜在log4j样缺陷的预防性补丁
多元化的技术和基础设施软件提供商Open-Change已发布了有关影响OX App Suite的几种安全漏洞的修复程序。
ox应用程序套件可作为本地解决方案或组织云产品的一部分可用电子邮件以及为电信公司,网络托管公司和服务提供商设计的协作软件。beplay体育能用吗
最新的补丁发布包括两个修复程序远程代码执行(RCE)软件文档转换器组件中发现的漏洞。CVE-2022-23100和CVE-2022-24405分别获得8.2和7.3的CVSS分数。
还发现文档转换器API携带服务器端请求伪造(SSRF)脆弱性(CVE-2022-24406)可能允许攻击者预测多部分形式边界并覆盖其内容。
先发制的补丁
在严重程度列表中,还有两个跨站脚本(XSS)影响OX App Suite的缺陷(CVE-2022-23099,CVE-2022-23101)。为了利用这些缺陷,攻击者需要迫使受害者点击恶意链接。
在log4shell去年12月震撼了全球软件开发行业的问题,OX App Suite还包括一个更新,该更新解决了日志组件(CVE-2021-42550)中类似潜在问题的更新。
你可能还喜欢Cisco补丁在Nexus仪表板中危险的虫子三重奏
“按默认配置,OX App Suite不容易受到此漏洞的影响,并且没有任何情况需要部署脆弱的配置”安全咨询阅读。
“我们严格地提供此更新,以减轻脆弱性的可能性。此时利用CVE-2021-42550需要特权访问更改系统配置。”
外部输入
当被问及是否发现漏洞是公司的一部分错误赏金程序,开放式Ciso Ciso Martin Heiland告诉每日swbeplay2018官网ig:“为此,这是50/50的事情。我们将Bug Bounty计划中的意见作为我们内部研究的灵感。
“在这种情况下,通过赏金计划报道的看似'中等问题的全部影响导致了彻底的审查过程,并发现了潜在的远程代码执行缺陷。”
海兰德补充说:“将内部评论与外部投入结合起来,使我们的计划非常有影响力,并有助于对工程团队的持续学习和挑战。我已经运行了Bug Bounty计划已有大约六年了,这对于我们的Web应用程序非常成功。”beplay体育能用吗
漏洞会影响OX App Suite版本7.10.6及更早的版本。它们都由各种分支更新中的供应商确定。
Heiland说:“大多数用户运行自动部署,我们自己的托管服务都使用'Cloud Native'自动化/编排,这允许非常快速的更新。”“当然,我们建议尽快更新,而不论部署方法如何。”
