Sicherheitslücke

/Tag:Sicherheitslücke

Viele Drupal-Websites sind immer noch verwundbar

Man mag es kaum glauben, aber noch immer gibt es über 100.000 auf dem CMS Drupal basierende Websites, die über eine lange bekannte kritische Sicherheitslücke, über die wir auch schon vor über zwei Monaten berichtet haben, angreifbar sind. Sicherheitsupdates gegen die Schwachstelle sind seit über zwei Monaten verfügbar. In diesen Tagen sind Sicherheitsforscher von Bad Pockets Report auf über 115.000 Drupal-Websites gestoßen, die anfällig für Angriffe über die kritische Sicherheitslücke CVE-2018-7600 sind, wie sie in einem Blogeintrag berichten. Die Schwachstelle ist schon seit Ende März bekannt, und zu diesem Zeitpunkt erschienen auch Sicherheitspatches gegen das Problem. Nach eigenen Angaben haben die Sicherheitsforscher eine halbe Million Drupal-Webseiten untersucht, die die Version 7 des Content Management Systems (CMS) nutzen. Davon war noch etwa ein Viertel über CVE-2018-7600 verwundbar. Rund ein Drittel hatten bereits eine abgesicherte Version installiert. Bei 47 Prozent der Websites konnten die Sicherheitsforscher die genutzte Drupal-Version nicht ermitteln. Updates schon seit [...]

By | 2018-06-05T18:55:40+00:00 Juni 5th, 2018|Allgemein, Coding, Javascript, PHP, Webwerkzeuge|Kommentare deaktiviert für Viele Drupal-Websites sind immer noch verwundbar

Drupal-Update schließt extrem kritische Lücke

Ein wichtiger Termin für alle, die ihre Internetseiten auf Basis des CMS Drupal erstellt haben: Am 28. März zwischen 20:00 und 21:30 deutscher Zeit wollen die Drupal-Entwickler Sicherheitsupdates für das Content Management System (CMS) zum Download bereitstellen. Diese Updates für diverse Varianten des CMS Drupal schließen eine extrem kritische Sicherheitslücke, kann man der Vorankündigung entnehmen. Die Updates soll es nicht nur für die noch supporteten Versionen 7.x und 8.5.x geben. Wegen der Schwee der Lücke wollen die Entwickler auch noch einmal Updates für die eigentlich nicht mehr im Support befindlichen Versionen  8.3.x und 8.4.x zur Verfügung stellen. Angriffe sind bald zu erwarten Die Admins von Websites unter Drupal sollten die Sicherheitsupdates am nächsten Mittwoch möglichst zügig installieren, weil potentielle Angreifer in wenigen Stunden Exploits entwickeln könnten, warnt das Team von Drupal. Aus diesem Grund gibt es aktuell auch noch keine weiteren Infos zu dieser Schwachstelle.

By | 2018-03-23T21:17:26+00:00 März 23rd, 2018|CMS|Kommentare deaktiviert für Drupal-Update schließt extrem kritische Lücke

Tor-Browser verrät die IP-Adresse

Ende Oktober fiel Filippo Cavallarin vom Sicherheitsunternehmen We Are Segment eine Sicherheitslücke im Tor-Browser unter Linux und MacOS auf. Diese TorMoil genannte Schwachstelle öffnet Links, die mit „file://“ beginnen, am Tor-Browser vorbei. Dummerweise kann bei diesem Versuch die echte IP-Adresse des Nutzers mit übertragen werden – damit wird die vom Tor-Browser versprochene Anonymität dann ausgehebelt. Es betrifft nur die Betriebssysteme MacOS und Linux Nach den Erläuterungen der Sicherheitsexperten von We Are Segment steckt die Schwachstelle im Umgang des Browsers Firefox, der die Basis für den Tor-Browser bildet, mit Links. Windows-, Tail- und Sandbox-Nutzer sind von dem Problem nicht betroffen. Noch vor dem letzten Wochenende haben die Tor-Entwickler einen Hotfix für den Tor-Browser erarbeitet. Der aktuelle Tor-Browser für Mac und Linux steht auf torproject.org in der Version 7.0.9 zum Download bereit. Wer den Tor-Browser für Linux oder MacOS oder Tor-Software aus dem Alpha-Zweig der Entwicklung nutzt, sollte die neue Version so schnell wie möglich [...]

By | 2017-11-07T07:11:12+00:00 November 7th, 2017|Allgemein, Browser, Webwerkzeuge|Kommentare deaktiviert für Tor-Browser verrät die IP-Adresse

Angriff auf Tor-Nutzer mit Javascript

Benutzer des Tor-Browsers werden aktuell aktiv über eine Zero-Day-Lücke angegriffen, die letztlich einen Fehler im Speichermanagement des zugrundeliegenden  Firefox-Browsers ausnutzt. Eventuell sind auch Nutzer des Firefox-Browsers ohne Tor-Bundle betroffen. Die Sicherheitslücke soll es Angreifern erlauben, ihren Code auf dem Rechner der Tor-Nutzer auszuführen. Der vermutlich verwendete Schadcode wurde schon auf einer Tor-Mailingliste gepostet. Browser-Hersteller Mozilla arbeitet noch an einem Patch, um die Sicherheitslücke zu schließen. Sicherheitsforscher weisen darauf hin, dass der verwendete Angriff einer Attacke aus dem Jahr 2013 sehr ähnlich ist. So schreibt Twitter-Nutzer @TheWack0lian: "Es ist eigentlich fast exakt der gleiche Payload wie er im Jahr 2013 benutzt wurde." Damals hatte die Bundespolizei der USA, das FBI, einen Server, der mutmaßlich an der Verbreitung von Missbrauchsdarstellungen an Kindern beteiligt war, mit diesem Exploit infiziert, um einzelne Tor-Nutzer zu enttarnen.

By | 2016-12-01T01:06:51+00:00 Dezember 1st, 2016|Javascript|Kommentare deaktiviert für Angriff auf Tor-Nutzer mit Javascript

Neue Version 0.67 des SSH-Clients Putty

Bei dem beliebten SSH-Client Putty wurde mit der gerade veröffentlichten neuen Version 0.67 eine Sicherheitslücke bei der Verwendung von PSCP, dem älteren SCP-Protokoll, geschlossen. Durch diese Schwachstelle waren theoretisch die Ausführung von Schadcode und sogar die Übernahme des Clients möglich. Außerdem beseitigt Putty 0.67 einige kleinere Fehler der Vorversion. Wer noch mit Putty in der Version 0.66 auf seinen Server geht, kann die Nutzung des neuen SFTP-Protokolls erzwingen, indem er einfach „-sftp“ eingibt. Sinnvoller ist es natürlich, den SSH-Client in der aktuellen Version 0.67 Beta herunterzuladen…

By | 2016-03-08T19:59:40+00:00 März 8th, 2016|Allgemein|Kommentare deaktiviert für Neue Version 0.67 des SSH-Clients Putty

Erste Patches für die Glibc-Sicherheitslücke

Nahezu genauso verbreitet wie das Betriebssystem Linux selbst ist leider auch die Sicherheitslücke mit dem Bezeichner CVE-2015-7547, allgemein als glibc-Lücke bekannt. Inzwischen haben mehrere Hersteller reagiert und dazu Sicherheits-Updates herausgegeben, die die Schwachstelle in den Netzwerkfunktionen der glibc schließen. Durch diese Lücke können Angreifer Linux-Systeme aus der Ferne mit Hilfe von speziell präparierte DNS-Paketen übernehmen. Bei Zyxel gibt es zum Beispiel ein Hotfix für die VPN-Firewalls der ZyWALL-Serie, für die Unified Security Gateways und für die Small Business Gateways. Der Patch soll aktuell schon über den ZyXEL-Support erhältlich sein, nächste Woche sollen dann abgesicherte Firmwareupdates folgen. Weitere Details zu den Reaktionen weiterer Hersteller wie Citrix oder VMWare finden Sie in einem aktuellen Artikel bei Heise.

By | 2016-02-24T08:40:37+00:00 Februar 24th, 2016|Allgemein|Kommentare deaktiviert für Erste Patches für die Glibc-Sicherheitslücke

Schwerwiegende Sicherheitslücke in Linux-Systemen

Administratoren von Linux-Systemen haben jetzt eine Sorge mehr: Mit gezielten DNS-Antworten lässt sich nämlich unter Umständen die Namensauflösung der Glibc-Bibliothek dazu mißbrauchen, unauthorisiert fremden Code auszuführen. Glibc ist die normalerweise auf Linux-Systemen genutzte Standard-C-Bibliothek. Zu dem Problem schreibt das Sicherheitsteam von Google, dass es die Lücke eher zufällig gefunden habe, weil der SSH-Client eines Entwicklers des Konzerns mehrfach abgestürzt sei, wenn er versucht habe, sich mit einem bestimmten Host zu verbinden. Die genauere Analyse habe dann ergeben, dass der Fehler nicht etwa wie zunächst vermutet in SSH, sondern in der Glibc-Bibliothek des Systems aufgetreten sei. Dann stellten die Google-Entwickler fest, daß der Fehler im Bugtracker der Glibc schon eingetragen war, allerdings ging daraus nicht hervor, dass es sich um eine kritische Lücke handelte. Weitere technische Details zu diesem ernsten Linux-Problem finden Sie bei Golem.

By | 2016-02-17T11:10:10+00:00 Februar 17th, 2016|Allgemein|Kommentare deaktiviert für Schwerwiegende Sicherheitslücke in Linux-Systemen

Sicherheitsupdates für Adobes ColdFusion

Wer als Seitenbauer ColdFusion von Adobe benutzt, sollte dringend die neuesten Sicherheitsupdates einspielen, denn die Seitenbaukästen ColdFusion 10 bis zum Update 17 und ColdFuison 11 bis zum Update 6 sind auf allen verfügbaren Plattformen verwundbar. Potentielle Angreifer können sogar zwei Lücken (CVE-2015-8052 und CVE-2015-8053) für ihre XSS-Attacken benutzen. Update 7 und Update 18 stehen jetzt zum Download bei Adobe bereit. Adobe empfiehlt Benutzern seiner Software, diese dafür bereitgestellten Sicherheitsupdates bald einzuspielen. Eine akute Bedrohung soll aber derzeit noch nicht gegeben sein. Eine andere Sicherheitslücke (CVE-2015-5255) gibt es auch in BlazeDS. Sie wird durch diese Updates ebenfalls geschlossen. Darüber hinaus legt Adobe seinen Kunden ans Herz, die Sicherheitshinweise für ColdFusion zu befolgen.

By | 2015-11-18T12:17:04+00:00 November 18th, 2015|Allgemein|Kommentare deaktiviert für Sicherheitsupdates für Adobes ColdFusion

Sicherheitsupdates für libpng

Schlechte Nachrichten für Entwickler, die die beliebte freie Programmbibliotheklibpng zur Verarbeitung von PNG-Grafiken nutzen. Die Bibliothek ist verwundbar, denn über die Sicherheitslücke CVE-2015-8126 könnten Angreifer die Versionen bis 1.0.63, 1.2.53, 1.4.16, 1.5.23 und 1.6.18 attackieren und Programme über DoS-Attacken abstürzen lassen. Abgedichtete Versionen sind auf der Projektseite schon verfügbar. Die Angriffe sollen nach Angaben der Entwickler über einen Pufferüberlauf möglich sein. Dabei überprüfe libpng PNG-Dateien mit einer geringeren Bittiefe als acht nicht wirklich korrekt. Der Exploit dazu soll vergleichsweise einfach zu nutzen sein. Über gezielte Angriffe ist derzeit aber noch nichts bekannt.

By | 2015-11-17T12:59:31+00:00 November 17th, 2015|Allgemein, Bildbearbeitung|Kommentare deaktiviert für Sicherheitsupdates für libpng

Update: SSH-Client PuTTY 0.66

Der SSH-Client PuTTY ist unter Windows ziemlich beliebt, zum Beispiels für SSH-Verbindungen mit einem Server im Internet. Die neue Version 0.66 schließt insbesondere eine seit Version 0.54 vorhandene Sicherheitslücke im Terminal-Emulator. Die Version 0.66, die der Entwickler Simon Tatham soeben veröffentlicht hat, ist aber kein reiner Sicherheitsupdate - sie bringt auch ein paar kleinere Bugfixes beispielsweise für das neue Microsoft-Betriebssystem Windows 10 und Funktionserweiterungen wie zusätzliche Kommandozeilenoptionen mit.

By | 2015-11-08T20:03:51+00:00 November 8th, 2015|Allgemein|Kommentare deaktiviert für Update: SSH-Client PuTTY 0.66