Backup Piergiorgio Venuti

Considerazioni sulla conformita’ al regolamento generale sulla protezione dei dati (GDPR) per l’infrastruttura di backup e archiviazione

Le aziende e gli enti pubblici con sede nell’Unione Europea (UE) hanno ormai sentito certamente parlare del nuovo regolamento generale UE sulla protezione dei dati (GDPR), una serie di norme in materia di privacy che entrera’ in vigore il 25 maggio 2018. Ciò che forse non è immediatamente evidente per chi ha la sede al di fuori della UE è che questo nuovo regime normativo si applica a tutte le aziende globali che hanno relazioni commerciali con la UE e con i clienti UE online.

Se hai clienti o partner che operano all’interno dei confini della UE, è bene che inizi subito ad informarti sul GDPR e ad adottare in fretta provvedimenti che consentano alla tua azienda di garantire la conformita’ al regolamento, o viceversa prepararti a sostenere pesanti sanzioni pecuniarie che potrebbero avere un impatto negativo sulla capacita’ della tua azienda di svolgere la sua attività nella UE in modo redditizio.

Immagina di essere multato con una sanzione pecuniaria di 10 milioni di euro o del 2% del tuo fatturato globale annuo, a seconda di quale sia il maggiore, per la mancata conformità al GDPR.

L’obiettivo principale del GDPR è proteggere i diritti di proprietà individuale dei cittadini UE e, rispetto alla precedente legislazione UE sulla privacy, la nuova legislazione amplia sensibilmente la definizione di cio’ che costituisce i dati personali e privati fino a includere non solo la documentazione finanziaria, della pubblica amministrazione e medica ma anche le informazioni di natura genetica, culturale e sociale. Con il GDPR le aziende devono ottenere il consenso esplicito di una persona prima di poter utilizzarne i dati personali e devono altresì onorare il loro “diritto all’oblio”, inteso come il diritto ad avere i propri dati personali eliminati dall’azienda che li detiene, su richiesta.

Le aziende sono anche tenute a soddisfare diversi altri requisiti per dimostrare la propria conformita’ continua al GDPR, nominando una persona responsabile delle questioni GDPR per l’azienda (il cosiddetto “responsabile della protezione dei dati”), segnalando qualsiasi incidente di violazione della sicurezza e archiviando i dati personali all’interno dei confini fisici della UE. Quest’ultima prescrizione rispecchia la preoccupazione della UE per il fatto che gli altri paesi al di fuori della UE possano non disporre di standard altrettanto elevati per la privacy dei dati dei cittadini e che i dati archiviati al di fuori della UE siano maggiormente a rischio di vigilanza da parte di agenzie governative di spionaggio e criminali.

 

Comprensione del GDPR attraverso la lente della Sarbanes-Oxley (SOX)

Per i professionisti IT di una certa generazione, le sfide presentate dalla conformità al GDPR potrebbero riportare alla memoria la Sarbanes-Oxley Act (SOX) degli Stati Uniti dei primi anni 2000. Come il GDPR, la SOX era un nuovo rigido regime normativo imposto sulle aziende di ogni tipo e dimensione. Benché fosse stato imposto unilateralmente dagli Stati Uniti per le aziende attive all’interno dei confini federali, riguardava un mercato talmente esteso che anche le aziende di tutto il mondo ne sono state interessate. Come ha fatto la UE con il GDPR, gli Stati Uniti avevano ideato una tabella di marcia aggressiva per la conformità e ne hanno assicurato l’applicazione con consistenti sanzioni pecuniarie. E proprio come sta succedendo per il GDPR, la SOX ha generato molta confusione e ansia tra le aziende sotto la sua lente d’ingrandimento, specie per quanto riguarda i costi della conformità.

Per altri versi invece, i professionisti IT nel 2017 e 2018 hanno vita assai più facile rispetto ai loro omologhi degli inizi del XXI secolo. Ad esempio, oggi le aziende hanno a disposizione una tecnologia più efficace per supportare i requisiti di segnalazione e per dimostrare alle autorità di avere messo in atto le politiche, i controlli e le procedure richiesti a supporto della conformità GDPR. I quadri di controllo di governance, gestione del rischio e conformità si sono sensibilmente evoluti negli ultimi 10 anni, come pure la disciplina della gestione del ciclo di vita delle politiche. Grazie, in parte, a normative come la SOX e la Direttiva UE 1995 sulla protezione dei dati, le aziende hanno una maggiore padronanza della valutazione dell’impatto sulla privacy e della governance dell’accesso ai dati. Oggi sono disponibili strumenti sensibilmente migliorati e maggiormente automatizzati per il monitoraggio, la segnalazione e la mitigazione della violazione dei dati.

Ma anche il mondo ha subito un’evoluzione dai tempi della SOX e in modi che complicano la conformità GDPR L’archiviazione dei dati ha subito un’accelerazione straordinaria in termini di velocità, volume, diversità dei media (compreso lo storage cloud) e complessità.

L’universo delle minacce alla sicurezza IT dei dati da parte di criminali e aggressori istituzionali è a sua volta diventato infinitamente più sofisticato e minaccioso.

Le implicazioni della conformità GDPR interessano la valutazione dell’impatto sulla privacy, la governance dell’accesso ai dati e le notifiche e la risoluzione delle violazioni dei dati, tutti argomenti che non verranno trattati in questa sede. Questo documento si concentra invece alla conformità GDPR intesa specificamente nel suo legame con lo storage sicuro e con la protezione dei dati attivi, comprese archiviazione ed eliminazione dei dati.

 

Terminologia generale del GDPR

Per comprendere in che modo il GDPR si lega all’archiviazione e alla protezione dei dati, è utile assimilare la seguente terminologia di base:

  • ♦ Soggetto interessato Un cittadino della UE identificabile tramite i propri dati personali. L’interessato può essere un consumatore che effettua un acquisto online, il paziente di un sistema sanitario, un cittadino che accede ai sevizi della pubblica amministrazione online, un utente delle applicazioni di social media e in generale qualsiasi persona fisica che fornisca informazioni personali per poter utilizzare dei servizi.
  • ♦ Titolare del trattamento Un’azienda che opera entro i confini della UE, o al di fuori della UE ma che ha relazioni commerciali con i cittadini UE, e che acquisisce dati sensibili sui cittadini UE nel corso della propria attività. Alcune esempi sono le aziende che riceve informazioni su ordini online, indirizzi e carte di pagamento dai clienti o i fornitori di servizi sanitari che conservano la documentazione dei pazienti. (Vedere di seguito per assistenza nel determinare se la propria attività si possa configurare come responsabile del trattamento o come titolare del trattamento.)
  • ♦ Responsabile del trattamento Un’attività commerciale come un fornitore di servizi cloud che si configura come contraente per un titolare del trattamento, ad esempio un’altra azienda che offre servizi ai cittadini UE e che acquisisce dati sensibili sulle persone. Gli esempi includono aziende che offrono servizi di hosting delle applicazioni, fornitori di storage e fornitori di servizi cloud come il backup.
  • ♦ Dati personali “Qualsiasi informazione riguardante una persona fisica identificata o identificabile.” La definizione fornita dalla UE è più ampia di quella di altri governi e include nome, indirizzo email, post dei social media, informazioni fisiche, fisiologiche o genetiche, informazioni mediche, ubicazione, dati bancari, indirizzo IP, cookie, identità culturale ecc. del cittadino UE.
  • ♦ Diritto alla cancellazione Il diritto di ogni cittadino UE “di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali”. Le persone possono richiedere la cancellazione di tutti i loro dati personali archiviati sui server del titolare del trattamento. Su questo punto in particolare, permane una certa ambiguità. La richiesta di cancellazione richiede anche la rimozione dei dati dal backup (cosa che può essere problematica in un supporto di backup seriale come il nastro)? Cosa succede quando una richiesta di cancellazione dei dati va in conflitto con le politiche di conservazione dei dati di un’azienda a fini di archiviazione o legali?
  • ♦ Violazione dei dati personali “La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.” Le aziende sono tenute a segnalare ogni incidente di violazione della sicurezza dei dati all’“autorità di controllo” entro 72 ore dal momento in cui ne sono venute a conoscenza.

 

Individuare la propria collocazione nella gerarchia GDPR

Al fine di comprendere i propri obblighi ai sensi del GDPR, occorre innanzi tutto determinare se la propria attività possa essere inquadrata come titolare del trattamento o come responsabile del trattamento, tenendo conto delle seguenti tre domande:

  1. Nella tua azienda vengono conservati o elaborati i dati personali dei cittadini UE?
  2. Nella tua azienda si decide quali elementi specifici dei dati personali debbano essere archiviati?
  3. Nella tua azienda si decide come utilizzare i dati personali che vengono archiviati sotto il tuo controllo?

Se la risposta è Sì soltanto alla domanda 1, allora la tua azienda è inquadrata come responsabile del trattamento nel quadro del GDPR. Se la risposta è Sì alle domande 1, 2 e 3, allora la tua azienda è un titolare del trattamento.

In qualità di titolare o di responsabile del trattamento che deve garantire la conformità al GDPR dell’archiviazione e della protezione dei dati personali, dovrai anche tenere conto delle seguenti domande:

  1. 1) Sapresti individuare con precisione, specificare e controllare l’ubicazione fisica dell’archiviazione degli eventuali dati personali sotto il tuo controllo? Ciò è particolarmente importante se si utilizzano o si fornisce protezione dei dati e/o storage basato su cloud, dove i dati personali hanno il potenziale per essere diffusi in più ubicazioni fisiche in data center di tutto il mondo, compreso fuori dalla UE.
  2. 2) I dati personali che vengono archiviati vengono anche strutturati? Le scelte relative al formato dei dati hanno delle implicazioni per la tua capacità di leggere, modificare ed eliminare elementi specifici dei dati personali su richiesta degli utenti. Le strutture dati che supportano ricerche rapide ed efficienti avranno un valore particolare nel supporto di queste richieste dimensionate.

 

Comprensione dei guasti della protezione della privacy

La tua capacità di asserire privacy, integrità, accessibilità e cancellazione dei dati personali si affida in parte alla tua capacità di garantire protezione e recupero dai guasti di archiviazione, backup e ripristino. Questi guasti rientrano nelle tre diverse categorie seguenti:

  • ♦ Errori dei dispositivi: il guasto fisico di qualsiasi componente hardware di storage, tra cui unità disco, storage controller e data center. Alcuni esempi sono l’esposizione accidentale di un’unità disco a un campo magnetico che ne cancella parzialmente il contenuto.
  • ♦ Guasti logici o soft: guasti dovuti a errori umani. Tra gli esempi, la cancellazione o la sovrascrittura accidentale di file nel corso dell’esecuzione di una procedura di backup la corruzione accidentale dei dati dei file a causa di un bug o da un errore in uno script o applicazione aziendale o la cancellazione accidentale del master boot record di un’unità disco.
  • ♦ Violazioni della sicurezza: guasti dovuti ad attacchi violenti e dannosi all’infrastruttura IT, tra cui reti, server, applicazioni ed endpoint, compresi quelli perpetrati da insider malintenzionati, criminali online e attori istituzionali ostili. Gli esempi includono un attacco di ransomware che applica crittografia impenetrabile ai contenuti di un’unità disco e richiede un pagamento online in cambio della chiave di decrittazione.

 

Supporto dei requisiti dei soggetti interessati per il controllo dei loro dati personali

Oltre alla protezione contro vari tipi di guasti della protezione dei dati, e alla segnalazione alle autorità della UE quando si verificano violazioni della sicurezza, i titolari del trattamento hanno una serie di obblighi nei confronti degli utenti di cui archiviano i dati personali. I titolari del trattamento devono supportare la capacità degli utenti di:

  • accedere, leggere e modificare i propri dati personali;
  • eliminare facilmente i propri dati personali, sia direttamente sia tramite una richiesta a te diretta;
  • esportare i propri dati personali in un formato facilmente leggibile.

La conformità alle richieste dell’utente non è sempre semplice. Ad esempio, è facile rispondere a richieste precise come “Elimina la mia posta in arrivo e tutto il suo contenuto” ma non è altrettanto immediato garantire la conformità a richieste più complesse o ambigue, come “Elimina tutti i miei commenti in questo forum online”.

 

Requisiti GDPR più estesi per protezione dei dati e archiviazione

Le aziende che si inquadrano come responsabili del trattamento devono adempiere anche ad altri obblighi. Tra cui:

  • Offrire sufficienti garanzie che i loro servizi soddisfino i requisiti tecnici e organizzativi del GDPR.
  • Evitare l’uso di fornitori esterni per supportare i contratti di servizio tra il responsabile del trattamento e i relativi clienti (i titolari del trattamento) senza il consenso esplicito del titolare del trattamento.
  • Alla risoluzione di un contratto di servizio, rimuovere tutti i dati dal cloud del cliente e/o dall’infrastruttura del data center e fornire una dimostrazione sufficiente che ciò è stato fatto.
  • Segnalare incidenti di violazioni dei dati all’ente normativo ove previsto dalla normativa.

La UE prende estremamente sul serio il rispetto della conformità, tanto che è pronta ad applicare sanzioni pecuniarie alle aziende che non riescono a dimostrare la propria conformità o che vengono colte in flagrante violazione delle regole del GDPR a tutela della privacy degli utenti. Ad esempio, la mancata conservazione della documentazione scritta, la mancata implementazione di diverse misure tecniche e organizzative e/o la mancata designazione di un responsabile della protezione dei dati, può costare all’azienda in violazione una sanzione di 10 milioni di euro o del 2% del fatturato globale annuo (a seconda di quale dei due è maggiore). Subire una violazione dei dati o commettere un’infrazione dei diritti del soggetto interessato, ad esempio perdere o eliminare i suoi dati senza autorizzazione, può comportare sanzioni pecuniarie anche più salate pari a 20 milioni di euro o il 4% del fatturato globale annuo (a seconda di quale dei due è maggiore).

In senso lato, per conseguire la conformità GDPR in queste aree di archiviazione e protezione dei dati (backup), responsabili e titolari del trattamento dovrebbero cercare soluzioni infrastrutturali o di servizi che soddisfino i seguenti requisiti tecnici:

  • ♦ Controllo da parte del soggetto interessato dell’ubicazione dell’archivio dati personali. Occorre essere in grado di rispettare i desideri delle persone dei cui dati ci si occupa in termini di controllo ed elaborazione rispetto a dove vengono archiviati tali dati: in sede e/o in un data center specifico ubicato nella UE.
  • ♦ Crittografia dei dati. Occorre fornire una solida crittografia dei dati personali situati sugli endpoint e a quelli in transito sulle reti LAN e WAN e sul cloud. Il processo di crittografia deve essere interamente automatizzato e il soggetto interessato deve essere l’unico titolare della chiave di decrittografia.
  • ♦ Ricerca dati all’interno dei backup. Deve poter essere possibile compiere ricerche all’interno dei backup a livello granulare, facilitando così enormemente l’individuazione delle informazioni necessarie per conto dei soggetti interessati.
  • ♦ Capacità di modificare i dati personali. Dovrebbe essere possibile copiare, modificare ed eliminare facilmente i dati personali alla richiesta dei soggetti interessati.
  • ♦ Esportazione dati in un formato comune. Dovrebbe essere possibile esportare i dati personali in un formato comune e facilmente utilizzabile (ad es. archivi ZIP).
  • ♦ Ripristino dati rapido. Occorre poter ripristinare rapidamente i dati personali dai backup in caso di guasto al dispositivo di archiviazione, di problemi software, di errore dell’operatore o di violazione della sicurezza (ad es. un attacco ransomware).

Analogamente, responsabili e titolari del trattamento devono tenere conto delle seguenti regole GDPR nella scelta dell’infrastruttura e dei servizi di archiviazione e di protezione dei dati:

  • ♦ Trasferimenti transfrontalieri di dati. Qualsiasi trasferimento al di fuori dei confini della UE deve avvenire in modo trasparente e sicuro. I fornitori di servizi devono essere in grado di specificare le ubicazioni in cui sono archiviati i dati personali alla richiesta specifica dei soggetti interessati.
  • ♦ Notifica delle violazioni. In caso di violazione dei dati, un responsabile del trattamento deve essere in grado di notificare gli eventuali rischi a tutti i titolari del trattamento e ai clienti interessati entro 72 ore.
  • ♦ Diritto di accessoBackup e archiviazione devono supportare i diritti dei soggetti interessati di ottenere informazioni dai titolari del trattamento sul fatto che i loro dati personali vengano elaborati o meno. Il titolare del trattamento deve essere in grado di fornire una copia dei dati a titolo gratuito. I file di backup devono essere continuamente disponibili per i soggetti interessati. I dati personali in un account di backup o di archiviazione devono poter essere eliminati al momento della richiesta del soggetto interessato.
  • Diritto alla cancellazione. Quando i dati personali non rivestono più la funzione originaria, i soggetti interessati devono poter richiederne la cancellazione da parte di un titolare del trattamento.
  • ♦ Portabilità dei dati. I soggetti interessati devono essere in grado di ottenere e riutilizzare i propri dati personali per le proprie finalità trasferendoli in ambienti IT diversi. Per questo occorre essere in grado di scaricare i dati personali in un formato di facile portabilità.
  • ♦ Responsabili della protezione dei dati. In ogni ente di pubblica amministrazione o grande azienda (almeno 250 dipendenti) deve essere designato un dipendente a cui viene assegnata la responsabilità definitiva della conformità GDPR, noto come responsabile della protezione dei dati.
  • ♦ Privacy by design. Titolari e responsabili del trattamento devono adottare adeguati provvedimenti tecnici e organizzativi, tra cui la pseudonimizzazione, progettati per implementare i principi di protezione dei dati.

 

Conclusioni

La scadenza del 25 maggio 2018 per la conformità GDPR è imminente e le sanzioni pecuniarie per la mancata conformità sono consistenti; tuttavia ogni azienda, istituto e fornitore di servizi che offra i propri prodotti o servizi ai cittadini della UE può adottare oggi le misure che garantiscono di poter essere preparati. Inizia riconoscendo in che modo il GDPR rafforza e amplia la definizione dei diritti di proprietà individuale rispetto ai regimi di privacy precedenti, come la Direttiva UE 1995 sulla protezione dei dati. Acquisisci familiarità con la nuova terminologia creata dal GDPR per comprendere la tua collocazione in questo quadro. E comincia attaccando la sfida della conformità con metodi pertinenti alla protezione della privacy dei dati personali e ampiamente nel tuo ambito di controllo, agendo per migliorare la tua infrastruttura e i servizi di protezione dati e archiviazione e accoglierne i nuovi requisiti.

[btnsx id=”2929″]

Link utili:

7 motivi per NON rinnovare un backup tradizionale

Il GDPR e Acronis Cloud Backup

 

 

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS CSIRT

  • Rilevata vulnerabilità in 7-Zip (AL01/241122/CSIRT-ITA) Novembre 22, 2024
    Rilasciati dettagli in merito a una vulnerabilità di sicurezza – già sanata dal vendor a giugno 2024 – presente nel noto software di compressione e archiviazione file open source 7-Zip. Tale vulnerabilità potrebbe essere sfruttata da un utente malintenzionato remoto per eseguire codice arbitrario sui sistemi interessati.
  • Oracle: rilevato lo sfruttamento in rete della CVE-2024-21287 (AL02/241119/CSIRT-ITA) Novembre 21, 2024
    Rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2024-21287 che interessa il prodotto Agile Product Lifecycle Management (PLM), soluzione progettata per la gestione del ciclo di vita dei prodotti, dalla concezione iniziale fino alla dismissione. Tale vulnerabilità, con score cvss v3.x pari a 7.5, potrebbe permettere la divulgazione di file contenenti informazioni sensibili presenti sui […]
  • Aggiornamenti Drupal (AL02/241121/CSIRT-ITA) Novembre 21, 2024
    Aggiornamenti di sicurezza risolvono diverse vulnerabilità, in Drupal. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente malintenzionato l'esecuzione di codice da remoto e/o il bypass dei meccanismi di sicurezza sui sistemi target.
  • Rilevate vulnerabilità in Needrestart (AL03/241121/CSIRT-ITA) Novembre 21, 2024
    Rilevate 5 vulnerabilità di sicurezza, di cui 4 con gravità “alta”, in Needrestart, utilità installata di default nei server Ubuntu, utilizzata per determinare se è necessario un riavvio del sistema o dei suoi servizi. Tali vulnerabilità, qualora sfruttate, potrebbero consentire l’esecuzione di comandi arbitrari sui sistemi interessati.
  • Rilevata vulnerabilità in prodotti Atlassian (AL01/241121/CSIRT-ITA) Novembre 21, 2024
    Aggiornamenti di sicurezza sanano molteplici vulnerabilità in vari prodotti. Tra queste se ne evidenzia una con gravità “alta” presente nel prodotto Sourcetree, client gratuito per Git e Mercurial sviluppato da Atlassian, che offre un'interfaccia grafica per gestire i repository di codice. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato remoto l’esecuzione di codice […]
  • Aggiornamenti per prodotti Zyxel (AL03/240903/CSIRT-ITA) - Aggiornamento Novembre 20, 2024
    Zyxel rilascia aggiornamenti di sicurezza per sanare varie vulnerabilità presenti in diverse tipologie di dispositivi di rete e firewall.
  • Citrix: PoC pubblico per lo sfruttamento della CVE-2024-8069 (AL02/241114/CSIRT-ITA) - Aggiornamento Novembre 20, 2024
    Disponibile un Proof of Concept (PoC) per la CVE-2024-8069 – già sanata dal vendor – presente in Citrix Session Recording, funzionalità di sicurezza che consente di registrare l’attività su schermo delle sessioni utente ospitate su Citrix Virtual Apps and Desktops. Tale vulnerabilità, qualora sfruttata, potrebbe permettere a un utente remoto malintenzionato l’esecuzione di codice arbitrario […]
  • Risolte vulnerabilità in Google Chrome (AL04/241120/CSIRT-ITA) Novembre 20, 2024
    Google ha rilasciato un aggiornamento per il browser Chrome al fine di correggere 3 vulnerabilità di sicurezza, di cui una con gravità “alta”.
  • Rilevata nuova campagna di smishing a tema INPS (AL03/241120/CSIRT-ITA) Novembre 20, 2024
    È stato rilevato il riacutizzarsi di una campagna di smishing che sfrutta nomi e loghi riferibili ai servizi erogati dall’Istituto Nazionale della Previdenza Sociale.
  • Apple: rilevato sfruttamento in rete delle vulnerabilità CVE-2024-44308 e CVE-2024-44309 (AL01/241120/CSIRT-ITA) Novembre 20, 2024
    Rilevato lo sfruttamento attivo in rete di 2 vulnerabilità che interessano vari prodotti Apple. Tali vulnerabilità potrebbero permettere di eseguire codice da remoto e di perpetrare attacchi di tipo Cross Site Scripting (XSS) tramite risorse web opportunamente predisposte.

RSS darkreading

RSS Full Disclosure

  • APPLE-SA-11-19-2024-5 macOS Sequoia 15.1.1 Novembre 21, 2024
    Posted by Apple Product Security via Fulldisclosure on Nov 21APPLE-SA-11-19-2024-5 macOS Sequoia 15.1.1 macOS Sequoia 15.1.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/121753. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. JavaScriptCore Available for: macOS Sequoia Impact: Processing maliciously crafted […]
  • Local Privilege Escalations in needrestart Novembre 21, 2024
    Posted by Qualys Security Advisory via Fulldisclosure on Nov 21Qualys Security Advisory LPEs in needrestart (CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-10224, and CVE-2024-11003) ======================================================================== Contents ======================================================================== Summary Background CVE-2024-48990 (and CVE-2024-48992) CVE-2024-48991 CVE-2024-10224 (and CVE-2024-11003) Mitigation Acknowledgments Timeline I got bugs...
  • APPLE-SA-11-19-2024-4 iOS 17.7.2 and iPadOS 17.7.2 Novembre 21, 2024
    Posted by Apple Product Security via Fulldisclosure on Nov 21APPLE-SA-11-19-2024-4 iOS 17.7.2 and iPadOS 17.7.2 iOS 17.7.2 and iPadOS 17.7.2 addresses the following issues. Information about the security content is also available at https://support.apple.com/121754. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. JavaScriptCore Available for: iPhone XS […]
  • APPLE-SA-11-19-2024-3 iOS 18.1.1 and iPadOS 18.1.1 Novembre 21, 2024
    Posted by Apple Product Security via Fulldisclosure on Nov 21APPLE-SA-11-19-2024-3 iOS 18.1.1 and iPadOS 18.1.1 iOS 18.1.1 and iPadOS 18.1.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/121752. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. JavaScriptCore Available for: iPhone XS […]
  • APPLE-SA-11-19-2024-2 visionOS 2.1.1 Novembre 21, 2024
    Posted by Apple Product Security via Fulldisclosure on Nov 21APPLE-SA-11-19-2024-2 visionOS 2.1.1 visionOS 2.1.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/121755. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. JavaScriptCore Available for: Apple Vision Pro Impact: Processing maliciously crafted web […]
  • APPLE-SA-11-19-2024-1 Safari 18.1.1 Novembre 21, 2024
    Posted by Apple Product Security via Fulldisclosure on Nov 21APPLE-SA-11-19-2024-1 Safari 18.1.1 Safari 18.1.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/121756. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. JavaScriptCore Available for: macOS Ventura and macOS Sonoma Impact: Processing maliciously […]
  • Reflected XSS - fronsetiav1.1 Novembre 21, 2024
    Posted by Andrey Stoykov on Nov 21# Exploit Title: Reflected XSS - fronsetiav1.1 # Date: 11/2024 # Exploit Author: Andrey Stoykov # Version: 1.1 # Tested on: Debian 12 # Blog: https://msecureltd.blogspot.com/2024/11/friday-fun-pentest-series-14-reflected.html Reflected XSS #1 - "show_operations.jsp" Steps to Reproduce: 1. Visit main page of the application. 2. In the input field of "WSDL Location" […]
  • XXE OOB - fronsetiav1.1 Novembre 21, 2024
    Posted by Andrey Stoykov on Nov 21# Exploit Title: XXE OOB - fronsetiav1.1 # Date: 11/2024 # Exploit Author: Andrey Stoykov # Version: 1.1 # Tested on: Debian 12 # Blog: https://msecureltd.blogspot.com/2024/11/friday-fun-pentest-series-15-oob-xxe.html XXE OOB Description: - It was found that the application was vulnerable XXE (XML External Entity Injection) Steps to Reproduce: 1. Add Python3 […]
  • St. Poelten UAS | Path Traversal in Korenix JetPort 5601 Novembre 21, 2024
    Posted by Weber Thomas via Fulldisclosure on Nov 21St. Pölten UAS 20241118-1 ------------------------------------------------------------------------------- title| Path Traversal product| Korenix JetPort 5601 vulnerable version| 1.2 fixed version| - CVE number| CVE-2024-11303 impact| High homepage| https://www.korenix.com/ found| 2024-05-24 by| P. Oberndorfer, B. Tösch, M....
  • St. Poelten UAS | Multiple Stored Cross-Site Scripting in SEH utnserver Pro Novembre 21, 2024
    Posted by Weber Thomas via Fulldisclosure on Nov 21St. Pölten UAS 20241118-0 ------------------------------------------------------------------------------- title| Multiple Stored Cross-Site Scripting product| SEH utnserver Pro vulnerable version| 20.1.22 fixed version| 20.1.35 CVE number| CVE-2024-11304 impact| High homepage| https://www.seh-technology.com/ found| 2024-05-24 by| P....

Customers

Newsletter

{subscription_form_2}