Új GeoServer-sebezhetőség sodorhatja veszélybe az amerikai kormányt
Az amerikai kormányzati szerveknek sürgősen be kell foltozniuk egy kritikus GeoServer-sebezhetőséget, amelyet már aktívan ki is használnak támadók. A gyenge XML-elemző miatt hackerek XML External Entity (XXE) injekcióval képesek lehetnek érzékeny adatokhoz hozzáférni, szolgáltatásmegtagadással bénítani a rendszereket, vagy szerveroldali kérésekkel más belső rendszerek ellen támadásokat indítani.
Kritikus hiba a GeoServerben
A biztonsági rés a GeoServer 2.26.1 és korábbi verzióit érinti. Ez a nyílt forráskódú, földrajzi adatok internetes megosztására használt szerver lehetővé teszi, hogy támadók tetszőleges fájlokat olvassanak ki védtelen rendszerekről. Az XXE-probléma a /geoserver/wms végpontján a GetMap művelet során jelenik meg: az alkalmazás nem szűri megfelelően az XML-tartalmat, így külső entitásokat is be lehet injektálni.
Felhívás az azonnali frissítésre
A CISA január 1-jéig szab határidőt a szövetségi hivataloknak a biztonsági rések befoltozására, figyelmeztetve, hogy a támadások már megkezdődtek. A kötelező irányelv a teljes szövetségi végrehajtó ágat érinti, de a hatóság minden hálózatvédőt arra buzdít, hogy azonnal alkalmazzák a javítást. Amennyiben nincs megoldás, fel kell hagyni a termék használatával.
A GeoServer már korábban is került célkeresztbe: tavaly kritikus kódbefecskendezési hibákat használtak ki az OSGeo GeoServer és GeoTools rendszereiben. Idén is előfordult, hogy támadók egy még nem frissített GeoServer-példányon keresztül fértek hozzá érzékeny adatokhoz. A CISA hangsúlyozza, hogy ezek a sérülékenységek jelentős kockázatot jelentenek az egész kormányzati szférára nézve.
Kezdetben az éjszakai égbolt viszonylagos sötétsége lehetővé tette, hogy a földi csillagászati műszerek soha nem látott részletességgel térképezhessék fel az univerzumot...
A világ egyik legnagyobb klíringházaként ismert DTCC forradalmi lépésre készül: a pénzügyi piacok egyik legkevésbé látványos, de a működés szempontjából kulcsfontosságú területét, a vállalati eseményeket – például osztalékfizetéseket és felvásárlási ajánlatokat – szeretné blokkláncra vinni...
✈ Mérföldkőhöz érkezett az amerikai haditengerészet új MQ-25A Stingray drónja, amely sikerrel teljesítette első, kétórás próbarepülését Dél-Illinois fölött...
💸 Érdemes megvizsgálni, hogy a kriptovaluták már túlléptek-e a spekulatív fázison, és egyre inkább a mindennapok pénzügyi rendszerének részévé válnak...
🚀 A növekedés sokféle rendszerben figyelhető meg – legyen szó kristályokról, baktériumokról vagy éppen lángfrontokról –, és már régóta próbálják megfejteni a fizikusok, hogyan lehet leírni és előre jelezni ezt a folyamatot...
🌲 A legtöbb gyerek ma az ideje nagy részét online játékokban tölti, azonban a Roblox külön kategória: ez az a platform, amelynek világszerte elképesztően népes a rajongótábora...
🇯🇳 A Stranger Than Heaven az RGG Studio legfrissebb játéka, amely már a bemutatójával a figyelem középpontjába került – nem utolsósorban azért, mert Snoop Dogg is szerepet kapott benne, méghozzá egy nemzetközi csempész bőrében...
🧪 Erre utal többek között, hogy svéd kutatóknak sikerült megbízhatóan előállítaniuk emberi őssejtekből inzulintermelő sejteket, amelyekkel egereken végzett kísérletükben a cukorbetegséget is vissza tudták fordítani...
💰 Az elmúlt fél évben a kriptovilág szokatlanul csendes. Az igazi tűzijátékok elmaradnak, különösen az alternatív coinok piacán, ahol a medvés trend az úr...
📈 A Hut 8 részvényei közel 30%-kal ugrottak meg, amikor a cég bejelentette, hogy 15 évre szóló, 3 570 milliárd forintos (9,8 milliárd USD) bérleti szerződést kötött egy nagyszabású MI-adatközpont létesítésére Texasban, a Beacon Point nevű bérelt területén...
🚀 Az ExpressVPN legfrissebb, 14.1.0-s verziója jelentősen kényelmesebbé és gördülékenyebbé teszi a mindennapi használatot mind Macen, mind Windowson, mind Linuxon...
A Google új szintre emelte a hibavadászatot: akár 1,5 millió dollárt (több mint 540 millió forintot) is hajlandó kifizetni annak, aki igazán komoly biztonsági rést fedez fel az Androidban vagy a Chrome böngészőben...
⚡ Világszerte forradalomra készülhetünk az energiatárolás terén: ausztrál kutatók sikeresen létrehozták az első működő kvantumakkumulátort, amely lézersugárral egy billiárdod másodperc alatt teljesen feltölthető...
Manfred, egy MI-alapú ügynök, történelmet írt: saját maga alapította meg első vállalkozását, önállóan kérte az amerikai adóhivataltól a cégalapításhoz szükséges regisztrációs kódot, amellyel legálisan működhet, alkalmazottakat vehet fel és engedélyeket szerezhet...
💪 A Hoover HF3 DynamicClean vezeték nélküli porszívóval nem kell kompromisszumot kötnöd, ha limitált a költségvetésed, viszont ragaszkodsz a hatékony takarításhoz...
