Drupal: Erneut erlauben Lücken die Website-Übernahme

Schon vor zwei Wochen gab es Updates gegen zwei Sicherheitslücken in der Drupal-Komponente Guzzle. Weitere Sicherheitslecks in der Guzzle-Bibliothek ermöglichen es Angreifern aber immer noch, verwundbare Drupal-Installationen zu kompromittieren. Weitere neue Updates dichten die Sicherheitslücken ab. Im Content-Management-System (CMS) Drupal kommt die Komponente Guzzle zum Einsatz, in welcher die Entwickler gerade erneut zwei weitere Sicherheitslücken geschlossen haben. Nach Angaben Cyber-Sicherheitsbehörde CISA der USA konnten Angreifer diese missbrauchen, um verwundbare Drupal-Installationen zu übernehmen. Das Drupal-Projekt reagiert darauf mit Updates, in welche die Schwachstellen entschärfen. Schon wieder stecken die Schwachstellen in Guzzle Cookie-Header transportieren als Antworten auf Anfragen an den Server sensible Informationen. Bei https-Anfragen an den Server könnte dieser fälschlicherweise derartige Informationen weitergeben, wenn er die Anfrage auf http oder einen anderen Host umleitet (CVE-2022-31042, CVSS 7.5, Risiko “hoch”). Die Authorization-Header enthalten ebenfalls vertrauliche Daten, und dasselbe Fehlverhalten wie bei den Cookie-Headern kann auch bei ihnen auftreten (CVE-2022-31043, CVSS 7.5, hoch). In der dazugehörigen Sicherheitsmeldung schreiben die Drupal-Entwickler, dass die Lücken zwar nicht den Drupal-Kern selbst beträfen, aber potenziell Dritthersteller-Module und eigene Code-Erweiterungen und stufen die Gefahr als so hoch ein, dass sie ein Sicherheitsupdate außer der Reihe herausgeben haben. Auch CISA warnt vor den Lücken in Guzzle Auch die CISA warnt schon vor den Sicherheitslücken und empfiehlt Drupal-Administratoren, die Hinweise in der [...]

2022-06-15T07:55:02+02:00Juni 15th, 2022|Coding, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Drupal: Erneut erlauben Lücken die Website-Übernahme

Sicherheitslücke im CMS Drupal erlaubt Website-Übernahme

Eine Drittherstellerbibliothek erzeugt Sicherheitslücken im CMS Drupal. Die US-amerikanische Cyber-Sicherheitsbehörde CISA rät jetzt zur Aktualisierung. BVon der US-amerikanischen Cyber-Sicherheitsbehörde CISA kommt die Warnung vor einer Schwachstelle im Content Management System (CMS) Drupal. Angreifer könnten möglicherweise durch Sicherheitslücken aus der Ferne die Kontrolle über eine betroffene Internetpräsenz übernehmen. Diese Sicherheitslücke findet sich nicht im eigentlichen Drupal-Code, sondern in der Bibliothek Guzzle eines Drittherstellers. Über Guzzle wickelt Drupal HTTP-Anfragen und -Antworten an externe Dienste ab. Inzwischen hat das Guzzle-Projekt ein Update veröffentlicht, dass zwar nicht den Drupal-Core betrifft, aber Auswirkungen auf beigesteuerte Projekte oder speziell angepassten Code von Drupal-Seiten haben könnte. Der Fehler in Drittherstellerbibliothek Guzzle Die Schwachstelle im Guzzle-Projekt bezeichnen die Entwickler als "Cross-Domain Cookie Leakage". Der Fehler ist eine fehlende Prüfung, ob die Domain eines Cookies mit derjenigen des Servers übereinstimmt, der es über den "Set-Cookie"-Header setzt. Dadurch könnte ein bösartiger Server auch Cookies für andere Domains setzen. Als Beispiel nennen die Entwickler, dass www.example.com ein Session-Cookie für api.example.net setzen könne. Der Guzzle-Client logge sich dann ins Konto ein und könne so an die privaten API-Anfragen aus dem Sicherheitsprotokoll gelangen (CVE-2022-29248, CVSS 8.0, Risiko "hoch"). In ihrem Security Advisory schreiben die Drupal-Entwickler, dass sie die Sicherheitsmeldung deshalb außerhalb des üblichen Zeitrahmens herausgegeben haben, weil das Guzzle-Projekt schon Informationen über die [...]

2022-05-31T17:15:10+02:00Mai 31st, 2022|CMS, Sicherheit|Kommentare deaktiviert für Sicherheitslücke im CMS Drupal erlaubt Website-Übernahme

Update für Google Chrome schließt Sicherheitslücke

Neu veröffentlichte Versionen des Webbrowsers Google Chrome schließen eine Sicherheitslücke in der JavaScript-Engine V8. Es steht zu vermuten, dass Edge und Chromium ebenfalls betroffen sind. Nur kurz nach der Aktualisierung auf die erste dreistellige Version 100 haben die Google-Entwickler des Webbrowsers Chrome eine neue Fassung veröffentlicht, die eine Sicherheitslücke schließt. Erneut ist die JavaScript-Engine V8 betroffen. Das Risiko durch diese Lücke stuft Google als hoch ein. Die Version 100.0.4896.75 steht für die Betriebssysteme Linux, Mac und Windows bereit und soll automatisch im Laufe der kommenden Tage und Wochen verteilt werden. Die damit geschlossene Sicherheitslücke, welche die Entwickler damit schließen, ist wieder einmal vom Typ "Type Confusion" (CVE-2022-1232, Risiko hoch). Wie immer gibt es (noch) keine Details Leider fehlen wie üblich noch nähere Details zu der Schwachstelle. Die Lücke wurde vom Mitarbeiter Sergei Glazunov von Googles Project Zero gemeldet. Bei einer Type Confusion prüft die Software den Typ von übergebenen Daten nicht korrekt. Dabei können Daten dann falsch interpretiert oder zum Beispiel wegen fehlender Typumwandlung in unterschiedlich große Datenstrukturen umkopiert werden, was dann auch Pufferüberläufe erzeugen kann, die etwa in Kombination mit einer Use-after-Free-Schwachstelle zur Ausführung untergeschobenenen Schadcodes missbraucht werden kann. Anders als bei dem Notfall-Update von Chrome vor etwas über einer Woche ist aktuell noch kein Schadcode in freier Wildbahn gesehen worden, der die Lücke zum [...]

2022-04-05T09:19:45+02:00April 5th, 2022|Browser, Sicherheit|Kommentare deaktiviert für Update für Google Chrome schließt Sicherheitslücke

Notfallupdate für Google-Browser Chrome

Soeben hat Google neue Versionen seines Webbrowsers Chrome veröffentlicht. Diese schließen eine Sicherheitslücke, für die schon Exploit-Code existiert. Der Webbrowser Chrome ist jetzt in der stabilen Version 99.0.4844.84 für  Linux, MacOS und Windows erschienen. Das Update enthält nur eine einzige Fehlerbehebung, mit der der Hersteller eine am Mittwoch der Woche anonym gemeldete Sicherheitslücke dicht macht. Für diese Lücke ist schon Exploit-Code im Netz aufgetaucht, bestätigt das Unternehmen. In seinem Release-Blog listen die Google-Entwickler nur eine Schwachstelle auf, die die neue version beseitigt. Wie immer halten sie sich mit Details zum Schutz der Nutzer erst einmal zurück. Nur eine knappe Beschreibung bestätigt, dass es sich dabei um eine Type-Confusion-Schwachstelle handelt. Bisher noch keine Details bekannt In solchen Fällen prüft das Programm den Typ übergebener Daten nicht korrekt, was dann zu diversen Fehlern wegen fehlender Typumwandlung und unterschiedlich großen Datenstrukturen beispielsweise bei nachfolgenden Kopieroperationen führen kann. Hier sind etwa daraus resultierende Pufferüberläufe denkbar, die das Ausführen von eingeschleustem Schadcodes möglich machen. Das Problem steckt in der Javascript-Engine Die Sicherheitslücke steckt laut Googles Release-Blog-Beitrag in der JavaScript-Engine V8 von Chrome (CVE-2022-1096). Die Entwickler stufen das Risiko der Schwachstelle als hoch ein. Die Details zur Lücke fehlen zwar noch, aber schon der Besuch einer bösartig manipulierten Webseite könnte wahrscheinlich ausreichen, um die Schwachstelle auszunutzen – und jede Webseite [...]

2022-03-27T09:15:39+02:00März 27th, 2022|Browser, Coding, Sicherheit|Kommentare deaktiviert für Notfallupdate für Google-Browser Chrome

PHP schließt Sicherheitslücke mit Updates

Neue PHP-Versionen schließen häufig auch  Sicherheitslücken, die Angreifern ansonsten unter Umständen das Einschleusen von Schadcode erlauben könnten. Die PHP-Entwickler haben soeben neue Versionen der beliebten Programmiersprache veröffentlicht, die mindestens eine schwere Sicherheitslücke schließen. Das Problem an sich Wenn eine Filterfunktion FILTER_VALIDATE_FLOAT mit min- und max-Begrenzung genutzt wird und der Filter – angedeutet in den Changelogs der PHP-Maintainer etwa bei Integer-Werten – fehlschlägt, könnte dadurch eine Use-after-free-Lücke aufgehen. Das kann dann zu einem Absturz führen oder sogar zum Überschreiben von Speicherbereichen und in der Folge zur Ausführung untergeschobenen Schadcodes missbraucht werden (CVE-2021-21708, CVSS 8.2, Risiko hoch). Die betroffenen Versionen Das Problem betrifft PHP in den Versionen 7.4.x vor 7.4.28, 8.0.x vor 8.0.16 sowie 8.1.x vor 8.1.3. PHP 7.4.28 schließt ausschließlich die Sicherheitslücke. Version 8.0.16 (Changelog) und 8.1.3 (Changelog) beheben auch weitere, aber nicht sicherheitsrelevante Fehler, darunter auch Speicherlecks. Auf der PHP-Website finden Sie die Downloads etwa von aktualisierten Windows-Binärdateien, aber auch neue Quellcode-Pakete. Linux-Distributionen dürften jetzt auch bald aktualisierte Pakete verteilen. Administratoren, die PHP nutzen, sollten das Update möglicht umgehend einplanen und durchführen.

2022-02-28T23:38:10+02:00Februar 28th, 2022|Coding, PHP|Kommentare deaktiviert für PHP schließt Sicherheitslücke mit Updates

Kritische Lücken in PHP Everywhere erlauben WordPress-Übernahme

Durch eine kritische Sicherheitslücke in dem Plugin PHP Everywhere hätten Angreifer beliebigen Code in WordPress-Instanzen ausführen können. Ein Update des Plugins steht zum Update bereit. Sicherheitslücken im Plug-in PHP Everywhere, das auf über 30.000 WordPress-Seiten installiert wurde, erlauben Angreifern das Einschleusen von Schadcode. Sie könnten dadurch die WordPress-Seiten übernehmen. Dazu reichen die Rechte eines normalen Nutzers aus, bestätigt das IT-Sicherheitsunternehmen Wordfence. Die Plug-in-Entwickler haben die Lücken jetzt mit einer aktualisierten Version geschlossen. Es gab mehrere Sicherheitslücken in dem Plugin Insgesamt listen die Forscher in der Sicherheitsmeldung dazu sogar drei Sicherheitslücken auf. Die erste machte es allen angemeldeten Nutzern möglich, über Shortcodes beliebigen Code einzuschleusen (CVE-2022-24663, CVSS 9.9, Risiko kritisch). Diese Shortcodes sind Funktionen, die WordPress zum Beispiel in Tabellen oder Bildergalerien anbietet. So hätten Angreifer zum Beispiel mit dem Shortcode „php_everywhere“ beliebiges PHP ausführen lassen und damit die WordPress-Installation übernehmen können: „php_everywhere]<beliebiges PHP>[/php_everywhere“. Für das Ausnutzen der zweiten Schwachstelle waren allerdings Contributor-Rechte nötig. Damit konnten Angreifer einen Post erstellen, beliebigen PHP-Code in die PHP Everywhere Metabox einfügen und den Code dann durch das Öffnen der Vorschau ausführen lassen köännen (CVE-2022-24664, CVSS 9.9, kritisch). Die dritte Sicherheitslücke steckt in PHP Everywheres  Block des Standard-Editors von PHP Gutenberg, den Nutzer mit Contributor-Rechten genauso missbrauchen könnten (CVE-2022-24665, CVSS 9.9, kritisch). Das Update sollte zügig installiert werden Es ist noch nicht klar, [...]

2022-02-10T11:51:03+02:00Februar 10th, 2022|CSS, PHP, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Kritische Lücken in PHP Everywhere erlauben WordPress-Übernahme

Google schließt kritische Sicherheitslücke in Chrome

In der neuesten Version des Google-Browsers Chrome schließt der Hersteller zahlreiche Schwachstellen. Zumindest eine davon stuft Google als kritisch ein. Google dichtet 26 Sicherheitslücken in Chrome 97.0.4692.99 für Windows, Mac und Linux im Stable-Kanal ab. Wie meistens hält sich Google auch diesmal mit Informationen und Details zu den geschlossenen Lücken aus Sicherheitsgründen noch bedeckt. Von den 26 Lücken listet das Unternehmen auch nur 22 auf. Eine davon betrifft das Safe Browsing, das vor dem Besuch schädlicher Webseiten oder dem Download von Malware warnt und als "kritisch" eingestuft ist. Angreifer könnten die Lücke beispielsweise beim Besuch einer Internetseite zum Einschleusen und Ausführen von Schadcode missbrauchen. Es gibt noch zahlreiche weitere Sicherheitslücken Bei den öffentlich gemachten Schwachstellen stuft Google bei 16 weiteren das Risiko als "hoch" ein. Besonders häufig sind daunter "use-after-free"-Probleme, also etwa die Nutzung von Zeigern oder Speicherbereichen, nachdem diese schon freigegeben wurden. Das kann meist leicht zur Ausführung von Schadcode missbraucht werden. Fünf weitere Lücken bewertet Google mit dem Risiko "mittel". Normalerweise verteilt Google die Aktualisierungen für den Browser automatisch. Nach der Ankündigung im Google Chrome Release Blog soll das in den kommenden Tagen passieren. Chrome zeigt nach dem Update statt des Drei-Punkte-Menüs oben rechts in der Navigationsleiste ein Symbol, das den Benutzer auf einen notwendigen [...]

2022-01-20T11:46:15+02:00Januar 20th, 2022|Browser, Sicherheit|Kommentare deaktiviert für Google schließt kritische Sicherheitslücke in Chrome

Apache: Version 2.4.52 schließt Sicherheitslücken

Böswillige Angreifer könnten Apache-Internetserver abstürzen lassen oder eine Sicherheitslücke sogar für noch Schlimmeres missbrauchen. Diese Schwachstellen dichtet die neue Apache-Version 2.4.52 ab. Eine der Sicherheitslücken wird von den Entwicklern als moderates Risiko, eine andere aber als "hohe" Gefahr bewertet. Deshalb sollten die Administratoren die Aktualisierung rasch installieren. Details zu den Schwachstellen Die schwerwiegendere Lücke steckt im LUA-Skript-Parser mod_lua (CVE-2021-44790, Risiko hoch). Durch manipulierte Anfragen aus LUA-Skripten heraus hätten Angreifer einen Pufferüberlauf beim Aufruf von r:parsebody() auslösen können. Pufferüberläufe dieser Art lassen sich häufig beispielsweise zum Ausführen eingeschleusten Codes missbrauchen. Zwar sind dem Apache-Projekt noch keine Exploits für diese Schwachstelle bekannt. aber die Entwickler schätzen, dass es möglich sei, einen dafür zu entwickeln. Apache als Forward-Proxy Ist Apache nur als Forward-Proxy konfiguriert, dann könnten Angreifer mit dem Senden einer manipulierten URI einen Absturz aufgrund einer sogenannten Null-Pointer-Dereferenz auslösen (CVE-2021-44224, moderat). Ein solcher Pointer (Zeiger) weist bereits ins digitale Nirvana (NULL), was ihn dann ungültig macht. Die weitere Dereferenzierung führt in aller Regel zum Absturz der Software. Apache als Forward- und Reverse-Proxy Wenn Apache aber als Forward- und Reverse-Proxy arbeitet, kann das eine Server Side Request Forgery (SSRF) provozieren, durch die ein Angreifer unbefugt Zugriff auf Ressourcen des Servers oder weiterer Systeme bekommen könnte. Neue Apache-Version 2.4.52 bringt Abhilfe Von der ersten Lücke [...]

2021-12-21T11:38:12+02:00Dezember 21st, 2021|Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Apache: Version 2.4.52 schließt Sicherheitslücken

Sicherheitsupdate: Angriffe auf Drupal-Admins möglich

Weil Angreifer mit dem CMS Drupal erstellte Websites attackieren könnten, haben die Entwickler des Content Management Systems Drupal jetzt zwei Sicherheitslücken geschlossen, deren Risiko die Entwickler insgesamt  als "moderat kritisch" ein stufen. Die Probleme stecken im CKEditor Beiden Schwachstellen (CVE-2021-41164 "hoch", CVE-2021-41165 "mittel") stecken in dem in Drupal integrierten CKEditor. Allerdings sollen einer Warnmeldung zufolge aber nur solche Websites angreifbar sein, bei denen die CKEditor-Bibliothek für die WYSIWYG-Bearbeitung aktiviert ist. Ob das standardmäßig so eingestellt ist, geht aus der Meldung leider nicht hervor. In einem so eingestellten System könnten Angreifer Inhalte erstellen oder verändern. Außerdem ist es denkbar, dass etwa Admins ins Visier von XSS-Angriffen geraten. Die bereinigten Versionen Die Drupal-Versionen 8.9.20, 9.1.14 und 9.2.9 sind jetzt gegen solche Angriffe abgesichert worden. Für 9er-Versionen vor 9.1.x ist der Support inzwischen ausgelaufen und es gibt keine Sicherheitsupdates mehr. Für Drupal 8 ist es der letzte Sicherheitspatch.  Weil Drupal 7 den CKEditor nicht benutzt, ist diese Version insgesamt nicht von dem Problem betroffen.

2021-11-19T18:13:23+02:00November 19th, 2021|CMS, Sicherheit|Kommentare deaktiviert für Sicherheitsupdate: Angriffe auf Drupal-Admins möglich

Sicherheitslücke in Confluence wird massiv ausgenutzt

Tausende Confluence-Server wurden immer noch nicht gepatcht. Das US-Cybercom warnt vor der Sicherheitslücke, die inzwischen schon massenhaft ausgenutzt wird. Die vor zwei Wochen gepatchte Sicherheitslücke in der Wiki-Software Confluence wird inzwischen massenhaft ausgenutzt, schreibt die US-Militärorganisation Cybercom in einer öffentlichen Warnung. Die Sicherheitslücke erlaube es, eigenen Code auf angegriffenen Servern auszuführen. "Die massenhafte Ausnutzung von Atlassian Confluence CVE-2021-26084 ist im Gange und wird voraussichtlich noch zunehmen. Bitte patchen Sie sofort, wenn Sie es noch nicht getan haben", teilte US Cybercom am Freitag vor dem Labor Day in einem Tweet mit. Der Confluence-Hersteller Atlassian hatte am 25. August einen Hinweis auf die Sicherheitslücke (CVE-2021-26084) veröffentlicht und sie mit den Versionen 6.13.23, 7.4.11, 7.11.6, 7.12.5 und 7.13.0 behoben. Betroffen sind nur die Nutzer von selbst gehosteten Confluence-Servern, nicht die der Cloud-Variante. Atlassian selbst nennt die Sicherheitslücke "kritisch". Das Problem steckte in der OGNL-Implementierung Bei der Schwachstelle handelt es sich um einen Fehler in der Object-Graph Navigation Language (OGNL), der dazu führt, dass letztlich beliebiger Code auf dem attackierten Server ausgeführt werden kann. Meist ist zur Ausnutzung der Lücke zwar eine Authentifizierung nötig, aber in Ausnahmefällen gibt es diese Einschränkung nicht. Deshalb hatten mehrere Sicherheitsforscher einen Proof-of-Concept-Code veröffentlicht, der zeigt, wie die Sicherheitslücke ausgenutzt werden kann. "Am 31. August identifizierte Censys 13.596 verwundbare Confluence-Instanzen, während diese Zahl [...]

2021-09-07T08:18:02+02:00September 7th, 2021|Coding, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Sicherheitslücke in Confluence wird massiv ausgenutzt
Nach oben