Mit Git v2.35.2 beheben die Entwickler ein Sicherheitsproblem, dass auf Multiuser-Maschinen auftreten kann.

Die neue Version 2.35.2 von Git ist zusammen mit den Releases für ältere Wartungsversionen v2.30.3, v2.31.2, v2.32.1, v2.33.2 und v2.34.2 an den üblichen Stellen verfügbar, schreibt Git-Maintainer Junio C Hamano an die Mailingliste.

Die Lücke könnte ein böswilliger Angreifer ausnutzen um ein .git-Verzeichnis an einem freigegebenen Speicherort oberhalb des aktuellen Arbeitsverzeichnisses eines Opfers zu erstellen, heißt es in einem Blogbeitrag zum Problem. Unter Windows könnte ein Angreifer dann etwa das Verzeichnis C:\.git\config erstellen, was dazu führen würde, dass alle Git-Aufrufe, die außerhalb eines Repositorys erfolgen, dessen konfigurierte Werte lesen, schreibt Github-Entwickler Taylor Blau in seinem Post und fügt hinzu, dass Github von der Lücke nicht betroffen sei.

Gelingt es, die Lücke auszunutzen, könne man, da einige Konfigurationsvariablen (wie core.fsmonitor) Git dazu veranlassen, beliebige Befehle auszuführen, bei der Arbeit auf einem gemeinsam genutzten Rechner Befehle ausführen.

Die Ankündigung von Git-Maintainer Junio C Hamano nennt die Download-Möglichkeiten.

Der Beitrag Updates für Git beheben Sicherheitsproblem erschien zuerst auf Linux-Magazin.

Mit dem aktuellen Patchlevel für den Mai schließt Google unter anderem mehrere mit hohem Risiko bewertete Sicherheitslücken.

Die schwerwiegendste dieser Schwachstellen ist eine Sicherheitslücke mit hohem Risiko in der Framework-Komponente, die zu einer lokalen Eskalation von Rechten führen kann, für die die Rechte des Benutzers erforderlich sind, schreibt Google im zugehörigen Bulletin für seine Patches. Eine als kritisch eingestufte Lücke stecke zudem in den Qualcomm-Komponenten, heißt es weiter. Weitere Informationen dazu sind nicht veröffentlicht. Im Bulletin sind auch die Wege zur Prüfung des auf dem Gerät vorhandenen Patchlevels verlinkt. Die Pixel-Geräte von Googel bekommen im Mai zusätzliche Updates.

Die Android-Partner informiere man über diese Probleme mindestens einen Monat vor der Veröffentlichung, teilt Google mit. Quellcode-Patches für diese Probleme werden man zudem in den nächsten 48 Stunden im Repository des Android Open Source Project (AOSP) veröffentlichen.

Der Beitrag Aktuelles Android-Patchlevel schließt Sicherheitslücken erschien zuerst auf Linux-Magazin.

Die Sicherheitsexperten der Shadowserver Foundation haben bei ihren Scans weltweit 3,6 Millionen zugängliche MySQL-Server entdeckt.

Beim Scan nach zugänglichen MySQL-Serverinstanzen auf Port 3306/TCP, die auf die MySQL-Verbindungsanfrage mit einer Server-Begrüßung antworten, seien überraschenderweise rund 2,3 Millionen IPv4-Adressen aufgetaucht. Die hätten auf die Verbindungsanfrage mit einer Begrüßung reagierten, so die Experten. Noch überraschender sei es gewesen, dass auch über 1,3 Millionen IPv6-Geräte geantwortet haben, wenn auch meist in Verbindung mit einem einzigen Autonomen System.

Die Forscher haben nicht geprüft, inwieweit ein Zugriff auf bestimmte Datenbanken möglich gewesen wäre, mahnen aber die Administratoren an, diese potenzielle Angriffsfläche zu schließen.

Die Anfragen sind weltweit gelaufen. Aus Deutschland haben sich laut den Forschern 174.000 MySQL-Server offen gemeldet.

Es sei unwahrscheinlich, dass MySQL-Server für externe Verbindungen aus dem Internet zugänglich sein müssen, teilen die Forscher mit. Es sei also unnötig, diese externe Angriffsfläche zuzulassen. Der Bericht der Forscher ist online nachzulesen.

Der Beitrag Forscher entdecken 3,6 Millionen zugängliche MySQL-Server erschien zuerst auf Linux-Magazin.

In den Mozilla-Browsern Firefox vor Version 101 und Firefox ESR vor Version 91.10 sowie im Mailprogramm Thunderbird vor Version 91.10 sind Sicherheitslücken entdeckt worden, die ein Update erfordern.

In Firefox und der ESR-Version mit verlängertem Support und in Thunderbird hat Mozilla mehrere Schwachstellen behoben, die mit einem hohen Sicherheitsrisiko eingestuft sind. Ein Angreifer könnte diese Sicherheitslücken ausnutzen, um Schadcode auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen und das Programm zum Absturz zu bringen, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Um die Lücken auszunutzen genüge es, eine manipulierte Webseite zu öffnen oder einen Link dorthin anzuklicken, teilt das CERT des BSI mit.

Im Einzelnen sind jeweils zwischen sieben und acht Sicherheitslücken in den genannten Programmen geschlossen worden. Sie stecken in unterschiedlichen Komponenten. In den jeweiligen Warnmeldungen von Mozilla sind die Einzelheiten für Firefox, Firefox ESR und Thunderbird genannt.

Mozilla hat Updates fertig, die Anwender installieren sollten. In der Regel werden die Updates automatisch eingespielt.

Der Beitrag Mozilla schließt Lücken in Firefox und Thunderbird erschien zuerst auf Linux-Magazin.

Sicherheitsexperte Kaspersky berichtet in einer aktuellen Analyse, dass im Jahr 2021 über 500 Schwachstellen in Routern entdeckt wurden, darunter 87 kritische.

Die anfälligen Router ermöglichen verschiedene Angriffsszenarien, berichtet Kaspersky, angefangen von E-Mail-Kompromittierung bis hin zur physischen Sicherheit von Haushalten, sofern die Roter auch im Smart Home mitmischen und darin enthaltenen Geräten den Internetzugang ermöglichen.

Dass Router sich als Schwachstellen erweisen ist nicht neu, Kaspersky hat bereits 2020 rund 600 Schwachstellen entdeckt und damit etwa dreimal so viele wie im Jahr davor. Kaspersky bemängelt, dass, obwohl Forscher inzwischen auf viel mehr gefundene Schwachstellen aufmerksam machen als früher, Router nach wie vor zu den am wenigsten gesicherten technischen Geräten gehören.

Einige Hersteller würden die Sicherheitsprobleme nicht beseitigen, teilt Kaspersky mit. Fast ein Drittel der im Jahr 2021 entdeckten kritischen Sicherheitslücken seien ohne Reaktion seitens der Hersteller geblieben. Es seien weder Patches noch Empfehlungen veröffentlicht worden. Bei weiteren 26 Prozent habe es lediglich die Empfehlung gegeben, den technischen Support zu kontaktieren.

Die Analyse zur Routersicherheit ist online zu finden.

Der Beitrag Kaspersky warnt vor Schwachstellen in Routern erschien zuerst auf Linux-Magazin.

Mit einem Update für den Chrome-Brwoser schließt Google unter anderem auch mehrere Sicherheitslücken. Eine davon werde bereits aktiv ausgenutzt, heißt es in der Mitteilung.

Das mit hohem Risiko eingestufte Sicherheitsproblem mit der CVE-2022-2294 steckt in der Komponente WebRTC (Web Real-Time Communication) des Browsers. Dort könne es unter Umständen zu einem Heap-Buffer-Overflow kommen, der sich ausnutzen lasse. Für diese Lücke existiere ein Exploit, der bereits im Umlauf sei, schreibt Google.

Eine weitere Sicherheitslücke, ebenfalls mit hohem Risiko bewertet, steckt in der V8-Engine des Browsers. Die Engine ist für die Abarbeitung von JavaScript und WebAssembly zuständig und regelmäßig unter den Kandidaten für Sicherheitslücken. Und auch die Chrome OS Shell ist von einer Sicherheitslücke betroffen, die das Update schließt.

Neben der Desktop-Version wird auch Chrome für Android aktualisiert. Im mobilen Browser steckt ebenfalls die Lücke in WebRTC und der V8-Engine.

Der Beitrag Google schließt Zero-Day-Lücke in Chrome erschien zuerst auf Linux-Magazin.

Verschiedene Lücken in der plattformübergreifenden JavaScript-Laufzeitumgebung node.js erfordern ein Sicherheitsupdate.

Zwei Sicherheitslücken sind von den Entwicklern in ihrer Ankündigung mit hohem Risiko bewertet worden. Eine davon ermöglicht eine durch manipulierte IP-Adressen fälschlich ausgelöste DNS-Abfrage. Die wiederum lasse sich von einem Angreifer ausnutzen, der wahlweise die Kontrolle über den DNS-Server hat oder eine Man-in-the-Middle-Position. Damit könne er DNS-Antworten fälschen, um einen Rebinding-Angriff durchzuführen und sich so mit dem WebSocket-Debugger zu verbinden, was dann die Ausführung von beliebigem Code ermögliche.

Eine weitere Lücke mit hohem Risiko betrifft nur Windows. Dort lässt sich unter bestimmten Umständen eine Suche nach einer DLL auslösen, die ein Angreifer manipuliert haben könnte. Weiter fünf Lücken, die mit dem Update geschlossen werden, gelten den Entwicklern als mittleres Risiko. In der Ankündigung sind weitere Details und die Updates genannt.

Der Beitrag Node.js braucht Sicherheitsupdate erschien zuerst auf Linux-Magazin.

Forscher der ETH Zürich haben mit Retbleed einen Zuwachs in der Familie der spekulativen Ausführungsangriffe entdeckt, die mit Meltdown und Spectre begonnen haben.

Nach der Angriffsmethode über eine Branch Target Injection haben die Forscher die Familie dieser Sicherheitslücken Spectre-BTI getauft. Retbleed reiht sich dort ein, geht aber anders als seine Geschwister nicht über indirekte Sprünge oder Aufrufe vor, sondern nutzt Return Instruktionen. Dies sei von großer Bedeutung, da es einige der derzeitigen Spectre-BTI-Schutzmaßnahmen untergrabe, schreiben die Forscher. Der Name Retbleed weist auf die Methode mit Return hin.

Neben dem von den Forschern vergebenen Namen haben die Sicherheitslücken die Referenznummern CVE-2022-29901 (Intel-CPUs) und CVE-2022-2990 (AMD-CPUs). Man habe überprüft, dass Retbleed auf AMD Zen 1, Zen 1+, Zen 2 und Intel Core Generation 6, 7 und 8 funktioniere, heißt es weiter.

Ihren Proof-of-Concept für Retbleed haben die Forscher mit Linux geführt. Da das grundlegende Problem jedoch auf der Hardware-Ebene liege, hätten auch Microsoft- und Apple-Computer mit der betroffenen Hardware dieses Problem.

Ob Nutzer sich wegen der Lücke Sorgen machen sollten beantworten die Experten wie folgt: “Wenn Sie Geheimnisse auf virtuellen Maschinen mit gemeinsam genutzter Hardware (zum Beispiel in der Cloud) haben, sollten Sie sich dieses Problems bewusst sein. Aber es ist nicht gut für Ihre Gesundheit, sich zu viele Sorgen zu machen.”

In ihrem Bericht haben die Forscher ist ein Beispiel verlinkt und es gibt technische Details.

Der Beitrag RetBleed-Lücke in CPUs von Intel und AMD erschien zuerst auf Linux-Magazin.

Oracle hat in einem Rundumschlag, den das Unternehmen Critical Patch Update nennt, insgesamt 349 Sicherheitsprobleme in seinem Software-Portfolio behoben. Die Patches sind von Servern über Datenbanken bis hin zu Middleware und Healthcare-Produkten weit gefächert. Oracle rät dringend zum Einspielen der Patches.

Als Critical Patch Update bezeichnet Oracle eine Sammlung von Patches für mehrere Sicherheitsschwachstellen. Diese Patches würden Sicherheitslücken beheben, die in Oracle-Code und in Komponenten von Drittanbietern, die in Oracle-Produkten enthalten seien. Die Patches seien in der Regel kumulativ, aber jedes Advisory beschreibe nur die Sicherheitspatches, die seit dem vorherigen Critical Patch Update Advisory hinzugefügt worden seien, teilt Oracle mit.

Oracle mahnt Admins zudem zum schnellen Einspielen der jeweiligen Patches. Man erhalte regelmäßig Berichte über Versuche, Schwachstellen böswillig auszunutzen, für die Oracle bereits Sicherheits-Patches veröffentlicht habe, teilt der Anbieter mit. In einigen Fällen seien die Angreifer erfolgreich gewesen, weil die betroffenen Kunden es versäumt hätten, die Patches anzuwenden.

In seinem Advisory sind die einzelnen Patches für die Komponenten aufgeführt.

Der Beitrag Oracle patcht 349 Sicherheitslücken erschien zuerst auf Linux-Magazin.

Ein Forscher hat im Dezember 2021 eine Lücke an Zoom gemeldet. Acht Monate später ist das Problem nicht behoben. Jetzt hat er sie veröffentlicht.

Der Sicherheitsforscher Patrick Wardle hat auf der Hackerkonferenz Def Con mehrere Sicherheitslücken in der Videokonferenzsoftware Zoom präsentiert. Für eine Zero Day unter MacOS gibt es bisher noch keinen Patch. Mit ihm lassen sich die Rechte ausweiten und so eine Schadsoftware als Administrator ausführen. Mehrere andere Fehler hat Zoom bereits behoben. Zuerst hatte das Onlinemagazin The Verge berichtet.

Das Sicherheitsproblem liegt demnach in der Aktualisierungfunktion von Zoom, die beispielsweise Updates einspielt oder die Software entfernt. Diese prüft zwar, ob ein heruntergeladenes Paket kryptografisch signiert wurde, durch einen Fehler in der Prüfungsmethode kann dem Updater jedoch ein beliebiges Zertifikat mit dem gleichen Namen wie das Signierzertifikat von Zoom übergeben werden.

So könnten Angreifer die Überprüfung der zu installierenden Software aushebeln und beispielsweise eine Schadsoftware ausführen. Die Schadsoftware wird durch den Zoom-Updater mit Administratorrechten ausgeführt. Die Sicherheitslücke kann jedoch erst genutzt werden, wenn Angreifer bereits Zugriff auf das System des Betroffenen haben, dann können sie allerdings ihre Rechte ausweiten und haben weitreichenden Zugriff auf das betroffene System.

Gemeldet hatte Wardle die Sicherheitslücke bereits im Dezember 2021. Ein erster Fix führte einen weiteren Fehler ein, mit dem sich die Sicherheitslücke weiterhin ausnutzen ließ, nur eben etwas komplizierter, erklärte Wardle The Verge. Nach acht Monaten habe er sich nun entschlossen, die Sicherheitslücke öffentlich zu machen, auch wenn sie weiterhin nicht behoben sei.

“Für mich war das irgendwie problematisch, weil ich nicht nur die Bugs an Zoom gemeldet habe, sondern auch die Fehler und wie man den Code behebt”, sagte Wardle. “Es war also wirklich frustrierend, sechs, sieben, acht Monate zu warten und zu wissen, dass alle Mac-Versionen von Zoom auf den Computern der Nutzer saßen und anfällig waren.” Durch die Veröffentlichung hofft Wardle, dass der Fehler, der sehr einfach zu beheben sei, nun endlich behoben wird.

Kurz vor der Konferenz hatte Zoom laut The Verge ein Update herausgebracht, das die Lücke beheben sollte. Demnach wird die Update-Datei nun in einen Ordner verschoben, der dem Nutzer Root gehört. Da beim Kopieren die Lese- und Schreibrechte des Nutzers mitkopiert werden, kann dieser auch weiterhin die Datei verändern – und entsprechend auch Angreifer weiterhin die Datei austauschen und ihre Rechte ausweiten.

Matt Nagel, PR-Verantwortlicher für Sicherheit und Datenschutz bei Zoom, sagte in einer Stellungnahme zu The Verge: “Wir sind uns der neu gemeldeten Schwachstelle im Zoom Auto-Updater für macOS bewusst und arbeiten mit Nachdruck daran, sie zu beheben.”

Update: Zoom teilte mit, dass die Sicherheitslücke mittlerweile behoben worden sein soll: “Die neu gemeldete Sicherheitslücke für den MacOS Auto-Updater wurde im Zoom Client für Meetings für die MacOS Version 5.11.5 behoben.”

Der Beitrag Sicherheitslücke in Zoom auch nach acht Monaten offen erschien zuerst auf Linux-Magazin.

Insgesamt werden mit den neuen Versionen 104.0.5112.101 für Linux und Mac sowie 104.0.5112.101/102 von Google Chrome für Windows elf Sicherheitslücken beseitigt. Für eine gibt es bereits einen Exploit in freier Wildbahn.

Google sei bekannt, dass es einen Exploit für das Problem mit der Nummer CVE-2022-2856 in freier Wildbahn gebe, heißt es in der Mitteilung zur neuen Version von Chrome. Die Lücke entstehe durch eine unzureichende Validierung von nicht vertrauenswürdigen Eingaben in Intents, heißt es weiter. Die Sicherheitslücke hat Google mit dem Attribut hohes Risiko versehen. In dieser Klasse gibt es weitere sechs Probleme, die das Update beseitigt. Lediglich eine Lücke ist als kritisch eingestuft. Sie ensthet durch einen Use-after-free-Fehler in der FedCM-Komponente. Die Federated Credential Management API (FedCM) ermöglicht es Benutzern, sich mit ihren föderierten Konten auf Websites anzumelden, wobei der Datenschutz gewahrt bleiben soll. Da Google keine weitere Beschreibung der Lücke liefert, ist nicht abzusehen, welches Ausmaß der Fehler hat. In der Ankündigung sind weitere Lücken aufgezählt.

Der Beitrag Update für Google Chrome beseitigt Sicherheitslücken erschien zuerst auf Linux-Magazin.

Mit den Browserversionen Chrome 105.0.5195.52 für Mac OS und Linux und 105.0.5195.52/53/54 für Windows beseitigt Google eine ganze Reihe von Sicherheitslücken.

Eine davon, ein „Use after free“-Fehler in den Network Services gilt als kritisch. 20 weitere Probleme sind wahlweise als mit hohem oder mittlerem Risiko eingestuft. Drei Lücken haben ein geringes Schadpotenzial. Wie üblich gibt Google keine Details zu den Problemen bekannt, um Angreifer nicht weiter zu informieren

Google weist zudem darauf hin, dass viele der aufgelisteten Sicherheitsprobleme mit AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer oder AFL entdeckt worden seien.

Der Beitrag Sicherheitsupdate für Chrome beseitigt Lücken erschien zuerst auf Linux-Magazin.

Der Browser Chrome von Google braucht ein Update, das eine Sicherheitslücke schließt. Für diese Lücke existiert bereits ein Exploit, lässt Google wissen.

Entsprechende Meldungen habe man bekommen, heißt es im Chrome-Blog. Bei dem Sicherheitsproblem selbst handelt es sich um einen Fehler im IPC-System Mojo. Dort werden Eingaben nicht ausreichend geprüft, heißt es im Beitrag. Weitere Informationen hält Google zurück, um nicht weitere potenzielle Angreifer damit zu versorgen. Es ist also nicht nachvollziehbar, welche Auswirkungen ein erfolgreicher Exploit nach sich zieht.

Google stellt mit den Versionen 105.0.5195.102 für Windows, Mac und Linux gepatchte Ausgaben des Browsers bereit.

Der Beitrag Chrome braucht Update gegen Exploit erschien zuerst auf Linux-Magazin.

Cisco meldet eine Sicherheitslücke in der webbasierten Verwaltungsschnittstelle der Cisco Identity Services Engine (ISE). Über die könnten authentifizierten Angreifer aus der Ferne Dateien auf einem betroffenen Gerät lesen und löschen, warnt Cisco. Bislang gibt es keine Patches gegen das Problem.

Laut Ciscos Warnmeldung entsteht die Sicherheitslücke über eine unzureichende Validierung der Benutzereingaben. Ein Angreifer könnte die Lücke ausnutzen, indem er eine manipulierte HTTP-Anfrage, die bestimmte Zeichenfolgen enthält, an ein betroffenes System sendet, teilt Cisco mit. Ein erfolgreicher Angriff könnte es dem Angreifer dann ermöglichen, bestimmte Dateien auf dem Gerät zu lesen oder zu löschen, auf die er über seine konfigurierte Administrationsebene keinen Zugriff haben sollte.

Betroffen sind die ISE-Versionen 3.1 und 3.2. Ältere Ausgaben sind nicht betroffen. Es gibt für das Problem keinen Workaround. In der Version 3.1P5, die im November erscheinen soll, sei die Lücke dann geschlossen, schreibt Cisco. Gleiches gilt für die Version 3.2P1, die für Januar 2023 geplant ist.

Cisco sei sich bewusst, dass Proof-of-Concept-Exploit-Code für die in der Mitteilung beschriebene Schwachstelle nach der Veröffentlichung von Software-Fixes verfügbar werde, heißt es weiter. Addmins sollten die Aktualisierungen also sofort nach Erscheinen einspielen.

Der Beitrag Sicherheitslücke in Cisco Identity Services Engine erschien zuerst auf Linux-Magazin.

Das OpenSSL-Team hat Version 3.0.7 der Verschlüsselungssoftware veröffentlicht. Damit werden drei Sicherheitslücken geschlossen.

Zwei der Probleme stecken in der Verarbeitung von Punycode, teilt das Projekt mit. Es handle sich dabei jeweils um Bufferoverflows, die beim Parsen entstehen können. Punycode bezeichnet einen Standard für Sonderzeichen in internationalen Domainnamen.

Ein Ausnutzen der Lücke kann OpenSSL zum Absturz bringen. Das Ausführen von Code ist dagegen dadurch erschwert, dass, wie die Entwickler mitteilen, der Fehler erst nach der Überprüfung der Signatur der Zertifikatskette geschieht und es damit erforderlich sei, dass entweder eine Zertifizierungsstelle das böswillige Zertifikat signiert habe oder dass die Anwendung die Zertifikatsüberprüfung fortsetze, obwohl kein Pfad zu einem vertrauenswürdigen Aussteller erstellt werden könne.

Die OpenSSL-Lücken hatten wie berichtet dazu geführt, dass Fedora sich für ein Verschieben des für den 1. November geplanten Release seiner Distribution entschieden hatte.

Der Beitrag OpenSSL 3.0.7 schließt Sicherheitslücken erschien zuerst auf Linux-Magazin.

Die Entwickler von FreeBSD haben ein Advisory für eine über das Ping-Programm ausnutzbare Sicherheitslücke herausgegeben. Über das Ping-Kommando könnte unter Umständen Schadcode eingeschmuggelt werden, heißt es in der Warnung der Entwickler.

Anwender von FreeBSD müssen ihr System auf den neuesten Stand bringen, um das Problem zu beheben, heißt es in der Meldung. Die jeweilige Vorgehensweise dafür ist im Advisory beschrieben.

Mit Ping lässt sich die Erreichbarkeit eines entfernten Hosts mit Hilfe von ICMP-Nachrichten testen. Um ICMP-Nachrichten zu senden und zu empfangen, verwendet Ping RAW-Sockets und benötige daher erhöhte Rechte, teilen die FreeBSD-Entwickler mit.

Ping lese IP-Pakete aus dem Netz, um die Antworten mit der Funktion pr_pack() zu verarbeiten.  Als Teil der Verarbeitung muss ping den IP-Header, den ICMP-Header und, falls vorhanden, ein “zitiertes Paket” rekonstruieren, das das Paket darstellt, das einen ICMP-Fehler erzeugt hat, teilt FreeBSD mit.  Das “quoted packet” habe wiederum einen IP-Header und einen ICMP-Header.

Die Funktion pr_pack() kopiere die empfangenen IP- und ICMP-Header zur weiteren Verarbeitung in Stack Buffers.  Und dabei entstehe das Problem, weil das mögliche Vorhandensein von IP-Options-Headern nach dem IP-Header weder in der Antwort noch in dem zitierten Paket berücksichtigt werde. Sei diese IP-Optionen vorhanden, überlaufe pr_pack() den Zielpuffer um bis zu 40 Bytes, heißt es weiter.

Dieser Speichersicherheitsfehler könne von einem entfernten Host ausgelöst werden und das Ping-Programm zum Absturz bringen.  Es sei auch möglich sein, dass ein bösartiger Host die eine Remotecodeausführung in Ping auslöse.

Der Beitrag FreeBSD warnt vor Ping-Sicherheitslücke erschien zuerst auf Linux-Magazin.

Die Macher des Content Management Systems Typo3 haben neue Versionen der Software veröffentlicht. Damit werden Sicherheitslücken geschlossen, von denen eine mit hohem Risiko bewertet ist.

Mit den Versionen Typo3 12.1.1, 11.5.20 und 10.4.33 reagieren die Entwickler auf Sicherheitsprobleme. Alle Updates seien reine Sicherheitsreleases und würden wichtige Fixes für die Lücken enthalten, heißt es in der Ankündigung. Von den insgesamt sechs aufgezählten Problemen zählt diejenige mit der CVE-2022-23503 zu den schwerwiegenden. Über sie lässt sich Code einschleusen. Grund dafür sei die fehlende Trennung der vom Benutzer übermittelten Daten von der internen Konfiguration im Backend-Modul Form Designer. Darüber sei es möglich, Code zu injizieren, der dann über TypoScript als PHP-Code verarbeitet und ausgeführt werde, heißt es im Security-Bulletin.

Wie die Entwickler weiter mitteilen, gilt für alle nun veröffentlichten Versionen, dass dafür keine Datenbank-Upgrades erforderlich seien. In der Ankündigung sind Installationshinweise verlinkt und Informationen zu den weiteren Sicherheitslücken.

Der Beitrag Typo3 braucht Update gegen Sicherheitslücken erschien zuerst auf Linux-Magazin.

Mit der Veröffentlichung der Version 1.66.1 beheben die Entwickler der Programmiersprache Rust eine Sicherheitslücke, über die ein Man-in-the-Middle-Angriff (MITM) möglich wird.

Rust 1.66.1 behebt das Problem, dass der enthaltene Paketmanager Cargo die SSH-Hostschlüssel nicht verifiziert, wenn Abhängigkeiten oder Registry-Indizes mit SSH geklont werden. Diese Sicherheitslücke wird als CVE-2022-46176 gelistet. Die Lücke betrifft alle Rust-Versionen vor 1.66.1.

Wenn ein SSH-Client eine Kommunikation mit einem Server aufbaut, sollte der Client zur Vermeidung von MITM-Angriffen prüfen, ob er bereits in der Vergangenheit mit diesem Server kommuniziert hat und wie der öffentliche Schlüssel des Servers damals lautete, heißt es im Advisory zur Lücke. Wenn sich der Schlüssel seit der letzten Verbindung geändert hat, muss die Verbindung abgebrochen werden, da wahrscheinlich ein MITM-Angriff stattfindet. Es sei nun aber festgestellt worden, dass Cargo solche Überprüfungen nie implementiert und keine Validierung des öffentlichen Schlüssels des Servers durchgeführt hat, wodurch Cargo-Benutzer anfällig für MITM-Angriffe seien.

Im Advisory sind Anleitungen für die Upgrades aufgeführt und Alternativen beschrieben, sollte ein Update nicht sofort möglich sein.

Der Beitrag Rust 1.66.1 schließt Sicherheitslücke erschien zuerst auf Linux-Magazin.

Der X.org Server weist eine Sicherheitslücke auf, die zu einer Erhöhung der lokalen Rechte auf Systemen führen kann.

Vorausgesetzt ist, dass der X-Server privilegiert als Root ausgeführt wird, was bei aktuellen Systemen nicht mehr der Fall sein sollte. Zudem müsse auch eine Remotecodeausführung für ssh X-Weiterleitungssitzungen unterstützt sein, heißt es im Advisory zur Lücke. Die Schwachstelle wurden von der Trend Micro Zero Day Initiative gefunden.

Das Problem ist ein Speicherfehler in der DeepCopyPointerClasses, der zu einer use-after-free-Lücke führt. Für die Lücke gibt es einen Patch. Außerdem ist die neue Version X.org Server 21.1.7 bereits veröffentlicht, die den Patch enthält.

Version 21.1.7 behebt auch einen zweiten möglichen Out-of-band-Zugriff (OOB) in der Komponente EnqueueEvent und einen Absturz, der dadurch verursacht wurde, dass ResourceClientBits den MaxClients-Wert in der Konfigurationsdatei nicht korrekt eingehalten hat, heißt es in der Ankündigung.

Der Beitrag X.org Server 21.1.7 patcht Sicherheitslücke erschien zuerst auf Linux-Magazin.

Das Content Management System Typo3 leidet an einer Cross-Site-Scripting-Lücke, über die sich Schadcode einschleusen lässt.

Die als hochkritisch eingestufte Lücke steckt in der Kernkomponente GeneralUtility::getIndpEnv(), die die ungefilterte Server-Umgebungsvariable PATH_INFO verwendet, über die Angreifer bösartige Inhalte einspeisen können, heißt es in der Sicherheitswarnung von Typo3.

In Kombination mit der TypoScript-Einstellung config.absRefPrefix=auto können Angreifer dann HTML-Code in Seiten einschleusen, die noch nicht gerendert und gecached wurden. Somit würden die injizierten Werte zwischengespeichert und an andere Website-Besucher weitergegeben.

Betroffen sind die Typo3-Versionen 8.7.0 bis 8.7.50, 9.0.0 bis 9.5.39, 10.0.0 bis 10.4.34, 11.0.0 bis 11.5.22, 12.0.0 bis 12.1.3. Ein Update auf die jeweils aktuellste Version schließt die Lücke.

Bei Websites, die aus irgendwelchen Gründen nicht gepatcht werden können, empfehlen die Entwickler zumindest die TypoScript-Einstellung config.absRefPrefix auf einen statischen Pfadwert zu setzen und nicht “auto” zu verwenden, Dies behebe aber nicht alle Aspekte der Schwachstelle und sei nur als Zwischenlösung zu sehen.

Der Beitrag Typo3 ermöglicht Cross Site Scripting erschien zuerst auf Linux-Magazin.

Im freien Content Management System Joomla in den Versionen 4.0.0 bis 4.2.7 steckt eine kritische Sicherheitslücke. Ein Update ist verfügbar.

Im Sicherheitsrelease mit der Versionsnummer 4.2.8 für die 4.x Serie von Joomla wird die kritische Sicherheitslücke geschlossen, teilen die Entwickler mit. Das Problem steckte demnach in der Web Services API. Dort ermögliche eine unzulängliche Zugriffsprüfung unberechtigten Zugriff auf Webservice-Endpunkte.

Nutzern wird dringend empfohlen, das Update einzuspielen. Hinweise auf einen öffentlichen Exploit gebe es aber nicht, beruhigen die Entwickler.

Nach der Freigabe sei es auch dringend angeraten, die Kennwörter für alle Anmeldeinformationen zu erneuern, die in der globalen Website-Konfiguration gespeichert sind, nämlich für Datenbank, SMTP, Redis, HTTP-Proxy.

Der Beitrag Kritische Lücke in CMS Joomla erschien zuerst auf Linux-Magazin.

Über Onlineshops wird eine Vielzahl sensibler Daten von Verbraucherinnen und Verbrauchern verarbeitet. Im Rahmen einer nun veröffentlichten Studie hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Software-Produkte für Onlineshops auf Schwachstellen untersucht und fand dabei insgesamt 78 Sicherheitslücken.

Da neben persönlichen Kontaktdaten in vielen Fällen auch Bankverbindungen, Kreditkarten- und weitere Zahlungsdaten über Online-Shops verarbeitet werden, seien diese längst im Fokus von Cyber-Kriminellen, teilt das BSI mit.

Die bei der Studie entdeckten Sicherheitslücken hätten teilweise gravierende Auswirkungen auf das IT-Sicherheitsniveau von Daten der Verbraucher, so das BSI. Fast alle untersuchten Produkte hätten eine unzureichende Passwortrichtlinie aufgewiesen. In sieben von zehn Shop-Softwareprodukten habe man JavaScript-Bibliotheken identifiziert, die verwundbar gegenüber bekannten Schwachstellen seien. In der Hälfte der untersuchten Produkte stecke Software, die das offizielle End-of-Life-Datum überschritten habe und dementsprechend keine Sicherheits-Updates mehr erhalte.

Die Studie IT-Sicherheit auf dem digitalen Verbrauchermarkt: Fokus Onlineshopping-Plattformen (PDF) ist online abrufbar.

Der Beitrag BSI-Studie: Software-Produkte für Onlineshops sind unsicher erschien zuerst auf Linux-Magazin.

Der VPN-Anbieter AtlasVPN hat die “Common Vulnerabilities and Exposures§-Datenbanken (CVE) für das Jahr 2022 untersucht und kommt zum Schluss, dass Google, das Fedora Projekt und Microsoft Produkte dort mit den meisten Schwachstellen verzeichnet sind.

Der Untersuchung nach wiesen Google-Produkte 1372 Sicherheitslücken im Jahr 2022 auf, die meisten von allen Anbietern. Das Android-Betriebssystem kam dabei auf 897 Schwachstellen, und die Sicherheitsforscher fanden 283 Schwachstellen im Chrome-Browser. Das Fedora Projekt landet mit 945 entdeckten Schwachstellen auf dem zweiten Platz und Microsoft-Produkte mit 939 Sicherheitslücken auf dem dritten. Debian-Produkte enthielten 887 Schwachstellen auf, und das Linux-Betriebssystem von Debian hatte 884 Schwachstellen. Apple wies 456 Schwachstellen in seinen Produkten auf, davon entfielen auf macOS 379 Schwachstellen, berichtet AtlasVPN.

Zu der Statistik seien allerdings einige Erläuterungen nötig, so AtlasVPN. Eine davon sei, dass mehr entdeckte Schwachstellen nicht gleichbedeutend mit weniger Sicherheit seien. Bei Open Source Projekten würden, bedingt durch die oft hohe Zahl an Beteiligten, auch mehr Schwachstellen entdeckt. Werden diese auch behoben, könnte die Software letztlich auch sicherer sein.

Ein weiterer Faktor sei der Schweregrad der Lücken. CVE bewerte diese von 0 bis 10, wobei 10 für die kritischsten und schwerwiegendsten Schwachstellen stehe.  Wenn man diese Einschätzungen berücksichtigt, sieht es für Fedora wie folgt aus: Nur 2 Prozent der Schwachstellen werden im Fedora-Projekt als besonders schwerwiegend eingestuft, während der Stufen 6 bis 7 dann 21 Prozent aller Exploits ausmachen. Die Mehrheit, 28 Prozent der Schwachstellen, wird mit 4 bis 5 bewertet. Außerdem entfallen 10 Prozent auf Exploits, die mit 0 bis 1 bewertet wurden, berichtet AtlasVPN.

Gemessen am Schweregrad rückt Microsoft nach oben. Mehr als ein Fünftel (23 Prozent) der in Microsoft-Produkten gefundenen Sicherheitslücken werden mit 9+ bewertet. Darüber hinaus werden 20 Prozent der Sicherheitslücken mit 7 bis 8 bewertet. Solch hohe Bewertungen bedeuten, dass entdeckte Sicherheitslücken in Microsoft-Produkten häufiger ausgenutzt werden und den größten Schaden auf dem Gerät des Opfers anrichten können, so AtlasVPN.

Der Beitrag CVE: Google, Fedora und Microsoft mit den meisten Schwachstellen erschien zuerst auf Linux-Magazin.

Die Videokonferenzlösung Zoom braucht Updates. In der Software stecken laut dem Anbieter mehrere hochkritische Sicherheitslücken. Unter anderem wird damit das Ausführen von Schadcode möglich. Betroffen von den Lücken sind die Zoom-Versionen für Android, iOS, Linux, macOS und Windows vor Version 5.13.5.

Eine mit dem Risikopotenzial „hoch“ eingestufte Sicherheitslücke steckt in einer falschen Implementierung beim  Server-Message-Block-Protokoll (SMB) in den Zoom Clients. Wenn ein Opfer eine lokale Aufzeichnung an einem SMB-Speicherort speichert und sie später über einen Link vom Zoom-Webportal öffnet, könnte ein Angreifer, der sich in einem benachbarten Netzwerk des Opfer-Clients befindet, einen bösartigen SMB-Server einrichten, der auf Client-Anfragen antwortet und den Client dazu bringt, vom Angreifer kontrollierte ausführbare Dateien auszuführen, heißt es im Security Bulletin der Zoom-Entwickler.

Eine weitere hochriskante Lücke steckt im Windows-Installer des Zoom-Clients für IT-Admins vor Version 5.13.5. Über eine lokale Schwachstelle ist dort die Ausweitung von Rechten möglich. Ein lokaler Benutzer mit niedrigen Privilegien könnte laut Bulletin diese Schwachstelle in einer Angriffskette während des Installationsprozesses ausnutzen, um seine Privilegien auf den System-Benutzer zu erweitern.

Die insgesamt vier Lücken sind bei Zoom in den Security Bulletins aufgeführt. Updates sind über die Zoom-Webseite erhältlich oder über die in der App aufrufbare Prüfung nach Updates. Die erreicht man nach einem Klick auf das Profilbild und dann auf den Eintrag “Nach Updates suchen”.

Der Beitrag Kritische Sicherheitslücken in Konferenzsoftware Zoom erschien zuerst auf Linux-Magazin.