SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2024-07-22 15:47:30	Problème avec AWS Client VPN - CVE-2024-30164, CVE-2024-30165 Issue with AWS Client VPN - CVE-2024-30164, CVE-2024-30165 (lien direct)	Date de publication: & NBSP; 2024/07/16 3:30 PM PDT aws & nbsp; est conscient de CVE-2024-30164 et CVE-2024-30165 VPN client AWS .Ces problèmes pourraient potentiellement permettre à un acteur ayant accès à un périphérique de l'utilisateur final \\ de dégénérer pour rooter le privilège et exécuter des commandes arbitraires sur cet appareil.Nous avons abordé ces problèmes sur toutes les plateformes.Les clients utilisant AWS Client VPN devraient mettre à niveau vers la version 3.11.1 ou plus pour Windows, 3.9.2 ou plus pour macOS et 3.12.1 ou plus pour Linux. pour & nbsp; Informations supplémentaires sur la configuration du client AWS VPN pour répondre à vos exigences de sécurité et de conformité, veuillez vous référer à notre " Security in aws client vpn " Guide de l'utilisateur. we & nbsp; tiendons à remercier Robinhood d'avoir collaboré sur cette question grâce au processus de divulgation de la vulnérabilité coordonnée. Des questions ou des préoccupations liées à la sécurité peuvent être portées à notre attention via aws-security@amazon.com . Publication Date: 2024/07/16 3:30 PM PDT AWS is aware of CVE-2024-30164 and CVE-2024-30165 in AWS Client VPN. These issues could potentially allow an actor with access to an end user\'s device to escalate to root privilege and execute arbitrary commands on that device. We addressed these issues on all platforms. Customers using AWS Client VPN should upgrade to version 3.11.1 or higher for Windows, 3.9.2 or higher for MacOS, and 3.12.1 or higher for Linux. For additional information on configuring AWS Client VPN to meet your security and compliance requirements, please refer to our "Security in AWS Client VPN" user guide. We would like to thank Robinhood for collaborating on this issue through the coordinated vulnerability disclosure process. Security-related questions or concerns can be brought to our attention via aws-security@amazon.com.	Vulnerability
	2024-07-22 15:47:29	Issue with PyTorch TorchServe - CVE-2024-35198, CVE-2024-35199 (lien direct)	Date de publication: & NBSP; 2024/07/18 2:50 PDT AWS & NBSP; est conscient des problèmes décrits dans CVE-2024-35198 et CVE-2024-35199 dans les versions Pytorch Torchserve 0.3.0 à 0.10.0.Les clients utilisant des conteneurs d'apprentissage en profondeur d'inférence Pytorch (DLC) via Amazon Sagemaker ne sont pas affectés. CVE-2024-35198 n'empêche pas un modèle d'être téléchargé dans le magasin du modèle si l'URL contient des caractères tels que ".." lorsque l'API d'enregistrement du modèle Torchserve est appelée.Les clients utilisant des conteneurs d'apprentissage en profondeur d'inférence Pytorch (DLC) via Amazon Sagemaker et Amazon Elastic Kubernetes (Amazon EKS) ne sont pas affectés par ce numéro. CVE-2024-35199 ne lie pas deux ports GRPC 7070 et 7071 à LocalHost par défaut.Ces deux interfaces sont liées à toutes les interfaces lorsque Torchserve est lancé nativement sans conteneur Docker.Les clients utilisant des conteneurs en profondeur d'inférence Pytorch (DLC) ne sont pas affectés par ce problème. TORCHSERVE & NBSP; Version V0.11.0 résout ces deux problèmes. Clients & NBSP; peut utiliser les nouvelles balises d'image suivantes pour extraire les DLC qui sont expédiés avec TorchServe Patchée version 0.11.0.Alternativement, les clients peuvent passer à la dernière version de Torchserve. pytorch 2.2 https://github.com/aws/deep-learning-ntonainers/releases/tag/v1.8-pt-sagemaker-2.1.0-inf-py310 https://github.com/aws/deep-learning-ntainers/releases/tag/v1.5-pt-graviton-ec2-2.1.0-inf-cpu-py310 https://github.com/aws/deep-learning-ntainers/releases/tag/v1.5-pt-graviton-sagemaker-2.1.0-inf-cpu-py310 pytorch 1.13 https://github.com/aws/les contestes / versions en profondeur / étiquette / v1.21-pt-sagemaker-1.13.1-inf-cpu-py39	Vulnerability
	2023-05-18 13:59:18	Reported GuardDuty Finding Issue (lien direct)	Date de publication initiale: 18/05/2023 10h00 HNE Un chercheur en sécurité a récemment signalé un problème dans Amazon GuardDuty dans lequel une modification de la politique d'un seau S3 non protégé par le bloc d'accès public (BPA) pourrait être effectuée pour accorder un accès public au seau sans déclencher une alerte de garde.Ce problème spécifique se produirait si la politique S3 Bucket était mise à jour dans une seule nouvelle politique qui comprenait à la fois un "autorisation" pour "Principal ::" * "ou" Principal ":" AWS ":" * "dans une déclaration (faisant leBucket public) et également un «refuser» pour «Action»: «S3: GetBucketPublicAccessBlock dans un autre, qui a modifié toutes les capacités des appelants \\» (y compris GuardDuty) pour vérifier la configuration du seau.Les clients qui utilisent la fonctionnalité BPA recommandée n'auraient pas été touchés par ce problème parce que l'étape précédente requise de désactivation du BPA aurait déclenché une alerte de garde différente. . Alors que les critères et la limitation de détection de garde précédents ont été publiquement documentés Ici , nous avons convenu avec la recommandation du chercheur \\ pour modifier ce comportement et, au 28 avril 2023, avons mis en œuvre un changement pour toujours fournir une alerte de garde dans ce cas. Nous tenons à remercier la sécurité de GEM d'avoir divulgué de manière responsable ce problème et de travailler avec nous sur sa résolution. Des questions ou des préoccupations liées à la sécurité peuvent être portées à notre attention via aws-security@amazon.com . Initial Publication Date: 05/18/2023 10:00AM EST A security researcher recently reported an issue in Amazon GuardDuty in which a change to the policy of an S3 bucket not protected by Block Public Access (BPA) could be carried out to grant public access to the bucket without triggering a GuardDuty alert. This specific issue would occur if the S3 bucket policy was updated within a single new policy that included both an "Allow" for "Principal::"" or "Principal":"AWS":"" in one statement (making the bucket public) and also a “Deny” for "Action": "s3:GetBucketPublicAccessBlock in another, which altered all callers\' ability (including GuardDuty) to check bucket configuration. Customers who use the recommended BPA feature would not have been impacted by this issue because the required previous step of disabling BPA would have triggered a different GuardDuty alert. While the previous GuardDuty detection criteria and limitation was publicly documented here, we agreed with the researcher\'s recommendation to alter this behavior and, as of April 28, 2023, have implemented a change to still provide a GuardDuty alert in this case. We would like to thank Gem Security for responsibly disclosing this issue and working with us on its resolution. Security-related questions or concerns can be brought to our attention via aws-security@amazon.com.	Vulnerability		★★

Last update at: 2024-07-23 06:07:50
See our sources.

To see everything: Our RSS (filtrered)