Доступно обновление ПО ALTELL NEO, устраняющее уязвимость ShellShock

С 2 октября 2014 года для всех версий системного ПО межсетевых экранов ALTELL NEO (v.1.0, 1.5.0 и 1.5.1) доступно обновление, которое устраняет критические уязвимости в командной оболочке bash (так называемая уязвимость ShellShock). В связи с высокой опасностью обнаруженной уязвимости (статус опасности — 10 из 10) настоятельно рекомендуем как можно скорее установить обновление всем нашим клиентам.

Уязвимость ShellShock

Уязвимость ShellShock

Изменения в версии 1.5.1.10:

  • Полностью устранены уязвимости в командной оболочке bash (так называемый ShellShock, уязвимости CVE-2014-6271, CVE-2014-7169, CVE-2014-7186 и CVE-2014-7187);
  • Применены известные на сегодня меры по предотвращению эксплуатации CVE-2014-6277 и CVE-2014-6278 (полностью эти проблемы не устранены, поскольку детали уязвимостей до сих пор не опубликованы);
  • Устранены уязвимости для определения типа файла (CVE-2014-0207, CVE-2014-0237, CVE-2014-0238, CVE-2014-3478, CVE-2014-3479, CVE-2014-3480, CVE-2014-3487, CVE-2014-3538, CVE-2014-3587), позволяющие проводить DoS-атаки;
  • Исправлена обработка параметра настройки фильтрации межсетевого экрана по шестнадцатеричным подстрокам;
  • Добавлена поддержка формата DER для импорта сертификатов.

Изменения в версии 1.5.0.18:

  • Полностью устранены уязвимости в командной оболочке bash (так называемый ShellShock, уязвимости CVE-2014-6271, CVE-2014-7169, CVE-2014-7186 и CVE-2014-7187);
  • Применены известные на сегодня меры по предотвращению эксплуатации CVE-2014-6277 и CVE-2014-6278 (полностью эти проблемы не устранены, поскольку детали уязвимостей до сих пор не опубликованы);
  • Устранены уязвимости для определения типа файла (CVE-2014-0207, CVE-2014-0237, CVE-2014-0238, CVE-2014-3478, CVE-2014-3479, CVE-2014-3480, CVE-2014-3487, CVE-2014-3538, CVE-2014-3587), позволяющие проводить DoS-атаки.

Изменения в версии 1.0 10:10:10:

  • Полностью устранены уязвимости в командной оболочке bash (так называемый ShellShock, уязвимости CVE-2014-6271, CVE-2014-7169, CVE-2014-7186 и CVE-2014-7187);
  • Применены известные на сегодня меры по предотвращению эксплуатации CVE-2014-6277 и CVE-2014-6278 (полностью эти проблемы не устранены, поскольку детали уязвимостей до сих пор не опубликованы).

Обновления для отгруженных устройств доступны как автоматически, так и через службу технической поддержки. До выпуска новых обновлений все новые устройства ALTELL NEO будут отгружаться с версией ПО 1.5.1.10.