NVP vProxy: Beveiligingslek gedetecteerd op het NetWorker vProxy apparaat versie 4.3.0-46

De volgende CVE's zijn onlangs gedetecteerd als onderdeel van de beveiligingsscan met Behulp van Rapid 7:

• CVE-2023-3159

Een gebruik na gratis probleem werd ontdekt in driver/firewire in outbound_phy_packet_callback in de Linux-kernel. In deze fout kan een lokale aanvaller met speciale bevoegdheden leiden tot gebruik na gratis probleem wanneer queue_event() mislukt.

• CVE-2023-2002

Er is een beveiligingslek aangetroffen in de implementatie van HCI-sockets vanwege een ontbrekende functionaliteitscontrole in net/bluetooth/hci_sock.c in de Linux-kernel. Met deze fout kan een aanvaller ongeautoriseerde beheeropdrachten uitvoeren, waardoor de vertrouwelijkheid, integriteit en beschikbaarheid van Bluetooth-communicatie in gevaar komen.

• CVE-2023-35001

Beveiligingslek in Linux kernel nftables out-of-bounds read/write; nft_byteorder slecht afgehandelde vm-registerinhoud wanneer CAP_NET_ADMIN zich in een gebruikers- of netwerknaamruimte bevindt.

De beveiligingslekken die worden beschreven in de CVE's zijn al opgelost in vProxy 4.3.0-49, die samen met NetWorker 19.9.0.2 kan worden vrijgegeven. Update naar vProxy 4.3.0-49 zodra deze is uitgebracht.

vProxy OVA's kunnen worden gedownload via de Dell Support NetWorker productpagina.

Zie de volgende Dell artikelen voor informatie over de upgrade:

• KB-197385, NVP vProxy: Het NVP vProxy apparaat upgraden met behulp van nsrvproxy_mgmt
• KB 22608, NVP-vProxy: Handmatig upgraden/opnieuw upgraden van vProxy