Uralt-Lücke bei 350.000 Projekten in Pythons Tarfile-Modul

Schon 15 Jahre lang ist die Sicherheitslücke im Tarfile-Modul der Programmiersprache Python bekannt, und viele Projekte in Github sind dadurch verwundbar. Eine Sicherheitslücke (CVE-2007-4559) im Pythons Tarfile-Modul wurde bereits 2007 entdeckt. Als Abhilfemaßnahme wurde vor 15 Jahren einfach nur die Dokumentation angepasst, welche die Programmierer vor der potentiellen Gefahr warnte - ein Patch dagegen wurde laut dem Onlinemagazin Bleepingcomputer nicht veröffentlicht. Diese Sicherheitslücke befindet sich in dem Code, der die nicht bereinigte Funktion tarfile.extract() oder die eingebauten Standardwerte von tarfile.extractall() nutzt, womit man Tar-Archive entpacken lassen. Bei der Schwachstelle handelt ist vom Typ „Path Traversal“, und man kann damit den Zielordner der zu entpackenden Datei ändern. Dadurch lassen sich zum Beispiel Dateien überschreiben und so eventuell auch Code ausführen. Von 350.000 Projekten wurden 11.000 gepatcht Die Sicherheitsfirma Trellix hat das Problem Anfang des Jahres bei einer Untersuchung wieder entdeckt und überprüfte deshalb manuell 257 Projekte auf Github, bei denen die Wahrscheinlichkeit bestand, dass die Repositories verwundbar sind – und entdeckte in 175 von ihnen diese Sicherheitslücke. "Mit der Hilfe von Github waren wir in der Lage, einen viel größeren Datensatz zu bekommen, der 588.840 einzigartige Repositories enthält, die 'import tarfile' in ihrem Python-Code enthalten", schreibt Trellix dazu. Auf Basis der manuell überprüften Schwachstellenquote von 61 Prozent schätzt Trellix, dass [...]

2022-09-23T09:05:13+02:00September 23rd, 2022|Coding, Python, Webwerkzeuge|Kommentare deaktiviert für Uralt-Lücke bei 350.000 Projekten in Pythons Tarfile-Modul

Aktiv ausgenutzte Lücke in Browser Chrome geschlossen

Google hat die stabile Version seines Webbrowsers Chrome für Windows, macOS und Linux auf Version 86.0.4240.111 upgedatet. Mit dieser neuen Version werden fünf Sicherheitslücken geschlossen, vier davon stellen nach Einschätzung der Entwickler ein hohes Sicherheitsrisiko für die Benutzer dar. Eine von den geschlossenen Lücken wird eine laut Googles Project Zero schon aktiv von Angreifern ausgenutzt. Deshalb sollten die Nutzer nach dem Update schauen, das in den kommenden Tagen und Wochen verteilt werden soll. Sicherheitslücke in FreeType abgedichtet Wie üblich haben die Entwickler dieSchwachstellen und die Security-Fixes in einem aktuellen Blogeintrag zum Chrome Stable Channel Update dokumentiert, die externe Sicherheitsforscher entdeckt und gemeldet hatten. Mit genaueren Details zu den Lücken CVE-2020-16000 in der Blink Browser-Engine, CVE-2020-16001 ("Use after free in media"), CVE-2020-16002 in PDFium, CVE-2020-15999 in FreeType sowie zur einzigen "Medium"-Lücke CVE-2020-16003 ("Use after free in printing") hält sich der Blogeintrag wie immer sehr zurück: Zugriff auf Details der Sicherheitslücken gibt es erst, wenn die meisten Benutzer das Update installiert haben. So soll das Risiko aktiver Angriffe auf noch nicht dagegen geschützte Systeme verkleinert werden. Über die Lücke CVE-2020-15999 in der Programmbibliothek FreeType finden solche Angriffe allerdings wohl aktuell schon statt. Auf Twitter teilte Project Zero-Mitarbeiter Ben Hawkes mit, dass die Chrome-Entwickler sehr schnell auf die Warnung des Teams reagiert hätten. [...]

2020-10-21T22:46:03+02:00Oktober 21st, 2020|Allgemein, Browser, Coding, Sicherheit, Webwerkzeuge|1 Kommentar

Drupal: SQL-Injection-Angriffe auf OAuth-Server-Modul

Wer bei seinem Content-Management-System (CMS) Drupal Version 8 das OAuth-Server-Modul installiert hat, läuft Gefahr, über SQL-Injection angegriffen zu werden und sollten so schnell wie möglich ein Update auf das OAuth-Server-Modul für Drupal 8 auf die Version 8.x-1.1 durchführen. Nach einem aktuellen Sicherheitshinweis sind ältere Versionen des OAuth-Server-Moduls anfällig für Angriffe über SQL Injection. Die neue Version 8.x-1.1 schließt die als „moderat kritisch“ bewertete Lücke. Leider kann man dem Security Advisory SA-CONTRIB-2020-034 keine Details beispielsweise zu möglichen Konsequenzen eines erfolgreichen Angriffs auf die mit "moderately critical" bewertete Lücke entnehmen. Verwundbar soll der der komplette Versionszweig 8.x sein, weshalb auch die Entwickler ein Update auf die abgesicherte OAuth-Server-Modulversion 8.x-1.1 empfehlen.

2020-10-16T20:05:54+02:00Oktober 16th, 2020|Allgemein, CMS, Sicherheit|Kommentare deaktiviert für Drupal: SQL-Injection-Angriffe auf OAuth-Server-Modul

Drupal-Update schließt extrem kritische Lücke

Ein wichtiger Termin für alle, die ihre Internetseiten auf Basis des CMS Drupal erstellt haben: Am 28. März zwischen 20:00 und 21:30 deutscher Zeit wollen die Drupal-Entwickler Sicherheitsupdates für das Content Management System (CMS) zum Download bereitstellen. Diese Updates für diverse Varianten des CMS Drupal schließen eine extrem kritische Sicherheitslücke, kann man der Vorankündigung entnehmen. Die Updates soll es nicht nur für die noch supporteten Versionen 7.x und 8.5.x geben. Wegen der Schwee der Lücke wollen die Entwickler auch noch einmal Updates für die eigentlich nicht mehr im Support befindlichen Versionen  8.3.x und 8.4.x zur Verfügung stellen. Angriffe sind bald zu erwarten Die Admins von Websites unter Drupal sollten die Sicherheitsupdates am nächsten Mittwoch möglichst zügig installieren, weil potentielle Angreifer in wenigen Stunden Exploits entwickeln könnten, warnt das Team von Drupal. Aus diesem Grund gibt es aktuell auch noch keine weiteren Infos zu dieser Schwachstelle.

2018-03-23T21:17:26+02:00März 23rd, 2018|CMS|Kommentare deaktiviert für Drupal-Update schließt extrem kritische Lücke

Joomla-Update schließt SQL-Injection-Lücke

Die Version 3.7.0 des Content-Management-Systems (CMS) Joomla weist eine SQL-Injection-Lücke auf, durch welche Hacker eigene Datenbankbefehle in das CMS einschleusen können. Solche Schwachstellen können üble Folgen haben: Ein Angreifer könnte beispielsweise den Inhalt der Seite manipulieren und auf diese Weise Schadcode einschleusen oder aber auf die Nutzerdaten zugreifen. Die Sicherheitslücke steckt im Joomla Core und hat die CVE-Nummer CVE-2017-8917. Vom Joomla-Team wird das Sicherheitsproblem mit dem zweithöchsten Schweregrad "Hoch" bewertet. Joomla gibt aber bisher keine Details bekannt – vermutlich, um Benutzer der verwundbaren Version zu schützen. Die abgesicherte Version 3.7.1, die sich auf der Projektseite herunterladen lässt, beseitigt das Problem. Wer eine betroffene Joomla-Installation betreibt, sollte deshalb so schnell wie möglich auf diese aktuelle Version umsteigen. Denn nun, wo der Patch einmal herausgegeben ist, können potentielle Angreifer durch Vergleich von Version 3.7.0 und Version 3.7.1 leicht herausfinden, an welcher Stelle es zu der mangelnden Prüfung eingehender Daten kommt und dann diese Lücke auch für ihre Zwecke missbrauchen.

2017-05-17T19:57:27+02:00Mai 17th, 2017|Allgemein, MySQL, PHP|Kommentare deaktiviert für Joomla-Update schließt SQL-Injection-Lücke

Erste Patches für die Glibc-Sicherheitslücke

Nahezu genauso verbreitet wie das Betriebssystem Linux selbst ist leider auch die Sicherheitslücke mit dem Bezeichner CVE-2015-7547, allgemein als glibc-Lücke bekannt. Inzwischen haben mehrere Hersteller reagiert und dazu Sicherheits-Updates herausgegeben, die die Schwachstelle in den Netzwerkfunktionen der glibc schließen. Durch diese Lücke können Angreifer Linux-Systeme aus der Ferne mit Hilfe von speziell präparierte DNS-Paketen übernehmen. Bei Zyxel gibt es zum Beispiel ein Hotfix für die VPN-Firewalls der ZyWALL-Serie, für die Unified Security Gateways und für die Small Business Gateways. Der Patch soll aktuell schon über den ZyXEL-Support erhältlich sein, nächste Woche sollen dann abgesicherte Firmwareupdates folgen. Weitere Details zu den Reaktionen weiterer Hersteller wie Citrix oder VMWare finden Sie in einem aktuellen Artikel bei Heise.

2016-02-24T08:40:37+02:00Februar 24th, 2016|Allgemein|Kommentare deaktiviert für Erste Patches für die Glibc-Sicherheitslücke

Angriffe über http.sys auf Windows-Server

Eine Sicherheitslücke erlaubt sogar die Remotecodeausführung, wenn ein Angreifer eine spezielle HTTP-Anforderung an ein betroffenes Windows-System sendet. Die Lücke hat in der National Vulnerability Database (NVD) die Kennung CVE-2015-1635. Im seinem Security Bulletin MS15-034 beschreibt Microsoft diese kritische Schwachstelle als Sicherheitsproblem in HTTP.sys, einer im IIS genutzten Komponente. Diverse Honeypot-Fallen zeigen den Sicherheitsexperten, dass die Lücke schon aktiv ausgenutzt wird, allerdings bis jetzt in den meisten Fällen nur für DoS-Angriffe und noch nicht zur Remotecode-Ausführung. Ein von Microsoft schon bereitgestelltes Sicherheitupdate behebt das Problem, indem es die Verarbeitung der Anforderungen durch den HTTP-Stack von Windows modifiziert. Dies Update sollten Sie als Admin von Internetservern unter Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1 sowie Windows Server dringend einspielen.

2015-04-18T17:03:37+02:00April 18th, 2015|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Angriffe über http.sys auf Windows-Server
Nach oben