Neue Version 0.67 des SSH-Clients Putty

Bei dem beliebten SSH-Client Putty wurde mit der gerade veröffentlichten neuen Version 0.67 eine Sicherheitslücke bei der Verwendung von PSCP, dem älteren SCP-Protokoll, geschlossen. Durch diese Schwachstelle waren theoretisch die Ausführung von Schadcode und sogar die Übernahme des Clients möglich. Außerdem beseitigt Putty 0.67 einige kleinere Fehler der Vorversion. Wer noch mit Putty in der Version 0.66 auf seinen Server geht, kann die Nutzung des neuen SFTP-Protokolls erzwingen, indem er einfach „-sftp“ eingibt. Sinnvoller ist es natürlich, den SSH-Client in der aktuellen Version [...]

2016-03-08T19:59:40+02:00März 8th, 2016|Allgemein|Kommentare deaktiviert für Neue Version 0.67 des SSH-Clients Putty

Erste Patches für die Glibc-Sicherheitslücke

Nahezu genauso verbreitet wie das Betriebssystem Linux selbst ist leider auch die Sicherheitslücke mit dem Bezeichner CVE-2015-7547, allgemein als glibc-Lücke bekannt. Inzwischen haben mehrere Hersteller reagiert und dazu Sicherheits-Updates herausgegeben, die die Schwachstelle in den Netzwerkfunktionen der glibc schließen. Durch diese Lücke können Angreifer Linux-Systeme aus der Ferne mit Hilfe von speziell präparierte DNS-Paketen übernehmen. Bei Zyxel gibt es zum Beispiel ein Hotfix für die VPN-Firewalls der ZyWALL-Serie, für die Unified Security Gateways und für die Small Business Gateways. Der Patch soll [...]

2016-02-24T08:40:37+02:00Februar 24th, 2016|Allgemein|Kommentare deaktiviert für Erste Patches für die Glibc-Sicherheitslücke

Schwerwiegende Sicherheitslücke in Linux-Systemen

Administratoren von Linux-Systemen haben jetzt eine Sorge mehr: Mit gezielten DNS-Antworten lässt sich nämlich unter Umständen die Namensauflösung der Glibc-Bibliothek dazu mißbrauchen, unauthorisiert fremden Code auszuführen. Glibc ist die normalerweise auf Linux-Systemen genutzte Standard-C-Bibliothek. Zu dem Problem schreibt das Sicherheitsteam von Google, dass es die Lücke eher zufällig gefunden habe, weil der SSH-Client eines Entwicklers des Konzerns mehrfach abgestürzt sei, wenn er versucht habe, sich mit einem bestimmten Host zu verbinden. Die genauere Analyse habe dann ergeben, dass [...]

2016-02-17T11:10:10+02:00Februar 17th, 2016|Allgemein|Kommentare deaktiviert für Schwerwiegende Sicherheitslücke in Linux-Systemen

Sicherheitsupdates für Adobes ColdFusion

Wer als Seitenbauer ColdFusion von Adobe benutzt, sollte dringend die neuesten Sicherheitsupdates einspielen, denn die Seitenbaukästen ColdFusion 10 bis zum Update 17 und ColdFuison 11 bis zum Update 6 sind auf allen verfügbaren Plattformen verwundbar. Potentielle Angreifer können sogar zwei Lücken (CVE-2015-8052 und CVE-2015-8053) für ihre XSS-Attacken benutzen. Update 7 und Update 18 stehen jetzt zum Download bei Adobe bereit. Adobe empfiehlt Benutzern seiner Software, diese dafür bereitgestellten Sicherheitsupdates bald einzuspielen. Eine akute Bedrohung soll aber derzeit noch nicht gegeben sein. [...]

2015-11-18T12:17:04+02:00November 18th, 2015|Allgemein|Kommentare deaktiviert für Sicherheitsupdates für Adobes ColdFusion

Sicherheitsupdates für libpng

Schlechte Nachrichten für Entwickler, die die beliebte freie Programmbibliotheklibpng zur Verarbeitung von PNG-Grafiken nutzen. Die Bibliothek ist verwundbar, denn über die Sicherheitslücke CVE-2015-8126 könnten Angreifer die Versionen bis 1.0.63, 1.2.53, 1.4.16, 1.5.23 und 1.6.18 attackieren und Programme über DoS-Attacken abstürzen lassen. Abgedichtete Versionen sind auf der Projektseite schon verfügbar. Die Angriffe sollen nach Angaben der Entwickler über einen Pufferüberlauf möglich sein. Dabei überprüfe libpng PNG-Dateien mit einer geringeren Bittiefe als acht nicht wirklich korrekt. Der Exploit dazu [...]

2015-11-17T12:59:31+02:00November 17th, 2015|Allgemein, Bildbearbeitung|Kommentare deaktiviert für Sicherheitsupdates für libpng

Update: SSH-Client PuTTY 0.66

Der SSH-Client PuTTY ist unter Windows ziemlich beliebt, zum Beispiels für SSH-Verbindungen mit einem Server im Internet. Die neue Version 0.66 schließt insbesondere eine seit Version 0.54 vorhandene Sicherheitslücke im Terminal-Emulator. Die Version 0.66, die der Entwickler Simon Tatham soeben veröffentlicht hat, ist aber kein reiner Sicherheitsupdate - sie bringt auch ein paar kleinere Bugfixes beispielsweise für das neue Microsoft-Betriebssystem Windows 10 und Funktionserweiterungen wie zusätzliche Kommandozeilenoptionen mit.

2015-11-08T20:03:51+02:00November 8th, 2015|Allgemein|Kommentare deaktiviert für Update: SSH-Client PuTTY 0.66

SQL-Injection-Lücke in xt:Commerce

Die Shop-Software xt:Commerce weist eine Sicherheitslücke auf, die sich zum Einschleusen von SQL-Befehlen ausnutzen lässt, schreiben die Entwickler in ihrem Blog. Es soll angeblich noch keine Hinweise  darauf geben, dass die Lücke schon aktiv von Kriminellen genutzt wurde. Die inzwischen von den xt:Commerce-Entwicklern bereitgestellten fehlerbereinigten Versionen  4.2.00, 4.1.10 und 4.1.00 beseitigen das Problem. Wer also Online-Shops mit xt:Commerce betreibt oder verwaltet, sollte möglichst umgehend auf eine dieser aktuellen Versionen umsteigen. Denn jetzt können kriminelle Angreifer ja durch Vergleich einer verwundbaren [...]

2015-05-27T10:51:24+02:00Mai 27th, 2015|Allgemein, MySQL, PHP|Kommentare deaktiviert für SQL-Injection-Lücke in xt:Commerce

Sicherheitsupdates für PHP

Über eine Sicherheitslücke in der Funktion unserialize() können Kriminelle Code in PHP-Anwendungen einschleusen. Dagegen helfen die aktuellen Updates für die PHP-Versionen 5.6.6, 5.5.22 und 5.4.38, die so schnell wie möglich eingespielt werden sollten, weil schon ein Exploit existiert, der diese Sicherheitslücke ausnutzt. Das Problem besteht mit allen PHP-Installationen, die nicht auf dem aktuellen Stand sind. Darüber hinaus werden Angriffe über die Ghost-Lücke in der GlibC durch das Update erschwert und diverse weitere Bugs behoben, die [...]

2015-02-23T16:42:44+02:00Februar 23rd, 2015|PHP|Kommentare deaktiviert für Sicherheitsupdates für PHP

Sicherheitslücke im CMS Drupal geschlossen

Das Drupal Security Team hat jetzt ein Update bereitgestellt, das eine kritische Sicherheitslücke schließt. Bisher konnten Angreifer darüber ohne Authentifizierung mit einem einzelnen POST-Request beliebige SQL-Befehle ausführen und auf diese Weise die Internetseite komplett übernehmen. Das CMS Drupal wird von mehreren bekannten Internetseiten benutzt, darunter die des Weißen Hauses und Musiker-Webseiten wie etwa die von Bob Dylan. Wer Drupal 7 installiert hat, sollte jetzt auch so schnell wie möglich das Core-Update einspielen. Wer den Core seines Drupal-Systems nicht kurzfristig austauschen kann, sollte wenigstens den Patch anwenden, [...]

2014-10-16T23:52:23+02:00Oktober 16th, 2014|CSS, HTML, PHP|Kommentare deaktiviert für Sicherheitslücke im CMS Drupal geschlossen

Ruby on Rails und die Cookies

Bei Zehntausenden von Internetseiten, die mit dem Web-Framework Ruby on Rails erstellt wurden, haben Angreifer über eine Sicherheitslücke durch Kopieren der Session-Cookies die Nutzerkonten übernommen. Darunter sind teilweise sehr bekannte Seiten wie Warner Bros., Kickstarter, Paper.li, Simfy, Ask.fm und Audioboo. Besonders einfach wird der Cookie-Klau, wenn der Angreifer im selben Netz ist wie das Opfer. Dummerweise können die Session-Daten beliebig lang genutzt werden, weil Rails die Cookies nicht ungültig macht. Das ist besonders dann sehr [...]

2013-11-29T17:47:08+02:00November 29th, 2013|Allgemein|Kommentare deaktiviert für Ruby on Rails und die Cookies
Nach oben