NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.01 #############################

Titel           : Kwetsbaarheden verholpen in Microsoft Azure
Advisory ID     : NCSC-2023-0129
Versie          : 1.01
Kans            : medium
CVE ID          : CVE-2023-23383, CVE-2023-23408
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : medium
                  Cross-Site Scripting (XSS)
                  Spoofing
Uitgiftedatum   : 20230404
Toepassing      : Microsoft Azure
                  Microsoft Azure Service Fabric
Versie(s)       :
Platform(s)     :

Update
   Beveiligingsbedrijf Orca Security heeft een write-up gepubliceerd
   met meer informatie over de kwetsbaarheid met kenmerk
   CVE-2023-23383. In de write-up wordt uitgelegd hoe de kwetsbaarheid
   kan worden misbruikt.

   De inschaling van dit beveiligingsadvies blijft ongewijzigd
   MEDIUM/HIGH. Organisaties wordt geadviseerd de door Microsoft
   beschikbaar gestelde beveiligingsupdates te installeren.

Beschrijving
   Microsoft heeft kwetsbaarheden verholpen in Azure HDInsight Apache
   Ambari en  Azure Service Fabric.

   De kwetsbaarheid in HDInsight  Apache Ambari stelt een kwaadwillende
   in staat om zich voor te doen als een andere gebruiker. Hiervoor
   dient de kwaadwillende het slachtoffer ertoe te bewegen een malafide
   URL te openen.

   De kwetsbaarheid in Service Fabric is een
   cross-site-scripting-kwetsbaarheid. Succesvol misbruik vereist dat
   het slachtoffer een malafide URL opent en vervolgens op een
   specifieke pagina binnen de applicatie een bepaalde optie
   selecteert. De kwaadwillende kan vervolgens code uitvoeren in de
   context van de browser waarmee de applicatie wordt bezocht. Tevens
   stelt de kwetsbaarheid de kwaadwillende in staat om nieuwe of
   aangepaste containers te deployen op infrastructuur die met Service
   Fabric wordt beheerd. Over de kwetsbaarheid is een blogpost met
   technische details gepubliceerd.

   Voor een overzicht van de kwetsbaarheden, zie hieronder:

   Service Fabric:
   |----------------|------|-------------------------------------|
   | CVE-ID         | CVSS | Impact                              |
   |----------------|------|-------------------------------------|
   | CVE-2023-23383 | 8,20 | Voordoen als andere gebruiker       |
   |----------------|------|-------------------------------------|

   Azure Apache Ambari:
   |----------------|------|-------------------------------------|
   | CVE-ID         | CVSS | Impact                              |
   |----------------|------|-------------------------------------|
   | CVE-2023-23408 | 4,50 | Voordoen als andere gebruiker       |
   |----------------|------|-------------------------------------|

Mogelijke oplossingen
   Microsoft heeft updates beschikbaar gesteld waarmee de beschreven
   kwetsbaarheden worden verholpen. We raden u aan om deze updates te
   installeren. Meer informatie over de kwetsbaarheden, de installatie
   van de updates en eventuele work-arounds vindt u op:

   https://portal.msrc.microsoft.com/en-us/security-guidance

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
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=Y46I
-----END PGP SIGNATURE-----