Tag-Archive for » Lücke «

Joomla-Update schließt SQL-Injection-Lücke

Die Version 3.7.0 des Content-Management-Systems (CMS) Joomla weist eine SQL-Injection-Lücke auf, durch welche Hacker eigene Datenbankbefehle in das CMS einschleusen können. Solche Schwachstellen können üble Folgen haben: Ein Angreifer könnte beispielsweise den Inhalt der Seite manipulieren und auf diese Weise Schadcode einschleusen oder aber auf die Nutzerdaten zugreifen.

Die Sicherheitslücke steckt im Joomla Core und hat die CVE-Nummer CVE-2017-8917. Vom Joomla-Team wird das Sicherheitsproblem mit dem zweithöchsten Schweregrad „Hoch“ bewertet. Joomla gibt aber bisher keine Details bekannt – vermutlich, um Benutzer der verwundbaren Version zu schützen.

Die abgesicherte Version 3.7.1, die sich auf der Projektseite herunterladen lässt, beseitigt das Problem. Wer eine betroffene Joomla-Installation betreibt, sollte deshalb so schnell wie möglich auf diese aktuelle Version umsteigen.

Denn nun, wo der Patch einmal herausgegeben ist, können potentielle Angreifer durch Vergleich von Version 3.7.0 und Version 3.7.1 leicht herausfinden, an welcher Stelle es zu der mangelnden Prüfung eingehender Daten kommt und dann diese Lücke auch für ihre Zwecke missbrauchen.

Erste Patches für die Glibc-Sicherheitslücke

linuxNahezu genauso verbreitet wie das Betriebssystem Linux selbst ist leider auch die Sicherheitslücke mit dem Bezeichner CVE-2015-7547, allgemein als glibc-Lücke bekannt.

Inzwischen haben mehrere Hersteller reagiert und dazu Sicherheits-Updates herausgegeben, die die Schwachstelle in den Netzwerkfunktionen der glibc schließen.

Durch diese Lücke können Angreifer Linux-Systeme aus der Ferne mit Hilfe von speziell präparierte DNS-Paketen übernehmen.

Bei Zyxel gibt es zum Beispiel ein Hotfix für die VPN-Firewalls der ZyWALL-Serie, für die Unified Security Gateways und für die Small Business Gateways. Der Patch soll aktuell schon über den ZyXEL-Support erhältlich sein, nächste Woche sollen dann abgesicherte Firmwareupdates folgen.

Weitere Details zu den Reaktionen weiterer Hersteller wie Citrix oder VMWare finden Sie in einem aktuellen Artikel bei Heise.

Angriffe über http.sys auf Windows-Server

Eine Sicherheitslücke erlaubt sogar die Remotecodeausführung, wenn ein Angreifer eine spezielle HTTP-Anforderung an ein betroffenes Windows-System sendet. Die Lücke hat in der National Vulnerability Database (NVD) die Kennung CVE-2015-1635. Im seinem Security Bulletin MS15-034 beschreibt Microsoft diese kritische Schwachstelle als Sicherheitsproblem in HTTP.sys, einer im IIS genutzten Komponente.

Diverse Honeypot-Fallen zeigen den Sicherheitsexperten, dass die Lücke schon aktiv ausgenutzt wird, allerdings bis jetzt in den meisten Fällen nur für DoS-Angriffe und noch nicht zur Remotecode-Ausführung.

Ein von Microsoft schon bereitgestelltes Sicherheitupdate behebt das Problem, indem es die Verarbeitung der Anforderungen durch den HTTP-Stack von Windows modifiziert. Dies Update sollten Sie als Admin von Internetservern unter Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1 sowie Windows Server dringend einspielen.