Boletim Diário: 23/01/2025

[github-actions]

👇

[github-actions]

Boletim de Segurança

➡️ Atualização urgente no Node.js corrige falha que expõe dados sensíveis.
O projeto Node.js anunciou o lançamento de atualizações importantes para corrigir várias vulnerabilidades de segurança, incluindo uma falha de alta gravidade que pode permitir a invasores contornar permissões de workers e acessar dados sensíveis. Essa vulnerabilidade, rastreada como CVE-2025-23083, afeta as versões 20, 22 e 23 do Node.js e está associada ao utilitário diagnostics_channel, que é usado para monitorar eventos, como a criação de threads de workers. A falha abre espaço para que invasores ganhem acesso não autorizado a dados sensíveis ou a recursos protegidos, comprometendo a segurança de aplicações e sistemas que utilizam essas versões. Além da falha crítica, as atualizações incluem correções para duas vulnerabilidades de gravidade média. A primeira, identificada como CVE-2025-23084, é uma vulnerabilidade de travessia de diretórios em ambientes Windows. Esse problema permite que atacantes manipulem nomes de unidades para acessar arquivos fora do diretório previsto, violando a integridade das pastas protegidas. A segunda falha, CVE-2025-23085, está relacionada a um vazamento de memória em servidores HTTP/2, que pode ser explorado para causar uma condição de negação de serviço (DoS). Essas vulnerabilidades, embora menos graves que a CVE-2025-23083, também representam ameaças sérias e requerem atenção imediata dos usuários. Para mitigar os riscos, a equipe do Node.js lançou atualizações para as linhas de lançamento das versões 23.x, 22.x, 20.x e 18.x, recomendando fortemente que os usuários atualizem suas instalações imediatamente. As versões corrigidas incluem Node.js v18.20.6, v20.18.2, v22.13.1 e v23.6.1. A aplicação dessas atualizações garante a proteção contra as vulnerabilidades identificadas e reforça a segurança geral dos sistemas.

➡️ Atualização da Oracle inclui correções para vulnerabilidades graves em seus produtos.
A Oracle lançou sua atualização crítica de segurança de janeiro de 2025, corrigindo um total de 318 novas vulnerabilidades em seus produtos e serviços. A empresa está recomendando fortemente que os clientes apliquem as correções imediatamente para proteger seus sistemas contra potenciais riscos de segurança. A falha mais grave identificada, rastreada como CVE-2025-21556 com pontuação CVSS de 9.9, está presente no Oracle Agile Product Lifecycle Management (PLM) Framework. Essa vulnerabilidade permite que invasores com privilégios baixos, mas com acesso à rede via HTTP, assumam o controle de instâncias vulneráveis. De acordo com o NIST National Vulnerability Database (NVD), trata-se de uma vulnerabilidade facilmente explorável que coloca em risco os usuários do Oracle Agile PLM Framework. A Oracle já havia alertado em novembro de 2024 sobre tentativas ativas de exploração contra outra falha no mesmo produto, a CVE-2024-21287 (CVSS 7.5). Ambas as vulnerabilidades afetam a versão 9.3.6 do Oracle Agile PLM Framework. Segundo Eric Maurice, vice-presidente de segurança da Oracle, os clientes devem aplicar a atualização de janeiro de 2025, pois ela contém correções para a CVE-2024-21287 e outras vulnerabilidades adicionais. A Oracle também corrigiu a vulnerabilidade CVE-2024-37371 (CVSS 9.1) no sistema Kerberos 5 do Communications Billing and Revenue Management, que poderia permitir a leitura de memórias inválidas através de mensagens com campos de comprimento inválidos. Além disso, a empresa lançou 285 patches de segurança para o Oracle Linux. Os usuários são fortemente incentivados a aplicar essas atualizações para manter seus sistemas protegidos e evitar riscos de segurança.

➡️ Administração Trump dissolve comitê responsável por investigações cibernéticas.
A nova administração de Donald Trump anunciou a rescisão de todos os mandatos dos membros dos comitês consultivos que reportam ao Departamento de Segurança Interna dos EUA (DHS). A decisão foi divulgada por meio de um memorando emitido em 20 de janeiro de 2025 pelo secretário interino Benjamine C. Huffman. “Em alinhamento com o compromisso do Departamento de Segurança Interna de eliminar o mau uso de recursos e garantir que as atividades do DHS priorizem nossa segurança nacional, estou ordenando a rescisão de todos os mandatos dos membros dos comitês consultivos dentro do DHS, com efeito imediato”, afirmou Huffman no comunicado. Ele acrescentou que as futuras atividades dos comitês serão focadas exclusivamente na missão crítica de proteger o território nacional e apoiar as prioridades estratégicas do departamento. A decisão afeta, entre outros, os membros do Conselho de Revisão de Segurança Cibernética (CSRB) da Agência de Segurança Cibernética e Infraestrutura (CISA). Esse conselho desempenhou um papel importante nos últimos anos ao investigar grandes incidentes de segurança cibernética. Em 2024, o CSRB publicou um relatório contundente criticando a Microsoft por uma série de erros evitáveis que permitiram que o grupo chinês Storm-0558 explorasse sua infraestrutura e violasse dezenas de organizações em julho de 2023. No momento, não está claro como o CSRB será reestruturado após a rescisão de seus membros. A decisão de encerrar os mandatos do CSRB pode ter implicações significativas para os esforços de segurança cibernética dos EUA, enfraquecendo a cooperação público-privada e interrompendo investigações críticas em andamento.

Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/