SolarWinds修補存取權限稽覈系統ARM中RCE、路徑走訪等多項重大漏洞
支付動態 · 2024-07-22

SolarWinds新版本存取權限稽覈系統ARM(Access Rights Manager)2024.3,修補多個嚴重漏洞,包括遠端程式碼執行(RCE)、路徑走訪和身分驗證繞過等問題

SolarWinds釋出存取權限稽覈系統ARM(Access Rights Manager)2024.3版本更新,這次更新官方一次修補8個等級被列為重大(Critical)的漏洞,其中有6個不僅可讓惡意攻擊者遠端執行任意程式碼(RCE),甚至還包含路徑走訪以及身分驗證繞過漏洞,進而造成重大資安危害。

SolarWinds針對ARM修補多個嚴重漏洞,其中8個漏洞嚴重程度高達9.6分。CVE-2024-23475漏洞,涉及路徑走訪和資訊洩漏問題,讓未經身分驗證的攻擊者,可以任意刪除檔案並獲取敏感資訊。另一個類似的漏洞CVE-2024-23472,則是允許已通過身分驗證的使用者,獲得任意讀取和刪除ARM檔案的權限,同樣對系統安全造成嚴重威脅。

SolarWinds存取權限稽覈系統其他的遠端程式碼執行漏洞,還包括CVE-2024-23467允許未經授權的程式碼執行,CVE-2024-23469和CVE-2024-23466更危險,能讓未經身分驗證的使用者,以系統權限執行操作。而CVE-2024-28074是內部反序列化遠端程式碼執行漏洞,這是之前經過修補並已設置控制措施的漏洞,但是又被資安研究員找到繞過方法後再次被破解。

值得關注的還有CVE-2024-23471,可允許經過驗證的使用者,濫用SolarWinds服務進行遠端程式碼執行。CVE-2024-23470則允許未經身分驗證的使用者,執行命令和可執行檔。

除了修復這些嚴重漏洞之外,SolarWinds還在這次更新中加入新功能,強化ARM的gRPC憑證認證機制以及網頁客戶端功能。ARM伺服器現在支援基於gRPC憑證的認證機制,確保ARM客戶端之間的通訊安全,強化系統整體安全性。此外,現在網頁客戶端支援設定和執行Active Directory腳本,使管理員可以直接透過網頁介面管理和執行與Active Directory相關的自動化任務。

熱門文章
2027 Global Game Connect(GGC)斯里蘭卡招商全面啟動!業務人脈盡在掌握!
灰度頭條
西班牙監管機構警告在線賭博平臺存在身份盜竊行為
合規與政策
越南在線博彩業政策收緊 催生市場新機遇
東南亞資訊
印第安納州在線賭場法案在眾議院委員會停滯不前
合規與政策
新澤西州7月博彩收入創6.06億美元新高,頒布禁令
合規與政策
斯里蘭卡博弈產業大轉型,官方:劍指南亞拉斯維加斯
合規與政策
菲律賓網絡賭博和加密貨幣仍構成持續的洗錢風險
東南亞資訊
JILI 宣佈與全球板球傳奇 AB de Villiers(ABD)達成重磅戰略合作
體育遊戲
超級PAC籌資4800萬美元:體育博彩勢力加碼
合規與政策
亞洲遊戲市場觀察:15大市場熱門遊戲與用戶趨勢
網路遊戲
英國確認各垂直行業的賭博稅稅率
合規與政策
印度最高法院受理公益訴訟,要求全國禁封「偽裝」成社交遊戲的賭博平台
合規與政策
哈薩克計劃對線上賭場促銷活動進行處罰
合規與政策
菲律賓博彩技術賽道迎來新變局,B2B 供應模式加速滲透
東南亞資訊
越南博彩管控逐步放寬,惟本土需求仍顯乏力
東南亞資訊
首頁
遊戲
合作
發現
我的