Der Patch der Log4j-Schwachstelle für die Amazon Webservices (AWS) führt eine neue Sicherhehtslücke in das System ein. AWS-Anwender sollten aus diesem Grund den aktuellen Hotpatch gegen die Java-Lücke Log4j installieren. Durch die ursprüngliche Sicherheitslücke konnten entfernte Angreifer Schadcode auf dem System ausführen. Aufgrund des Patch hat sich eine neue Schwachstelle eingeschlichen. Damit können Angreifer aus Containern ausbrechen
und sich höhere Nutzerrechte bis zu Root-Rechten aneignen.

Der Fehler des ersten Patches liegt darin, dass er jeden Prozess, der eine Binärdatei mit “java” im Namen hat, patcht. Hierbei werden höhere Rechte für diesen Vorgang verwendet. So kann Schadcode mit “java” im Namen aus Containern des Systems ausbrechen.

Der Beitrag AWS Log4j-Schwachstellen erschien zuerst auf Linux-Magazin.

Microsoft warnt in einer aktuellen Twitter-Mitteilung vor einer neuen Variante des Sysrv-Botnets.  Das Sysrv-Botnet nutzt bekannte Schwachstellen in Web-Applikationen und Datenbanken, um Krypto-Miner auf Windows- und Linux-Systemen zu installieren.  Die neue Version verfolgt die gleichen Ziele, verwendet hierfür allerdings weitere Sicherheitslücken und Exploits. Des Weiteren kann die neue Variante auch die Kontrolle über Webserver gewinnen. Zur Verbreitung scannt Sysrv-K Server des Internets, um ausnutzbare Schwachstellen zu finden
und sich darüber auf dem System einzunisten.

Der Beitrag Sysrv-K: Neue Version des Sysrv-Botnets erschien zuerst auf Linux-Magazin.

Verschiedene Linux-Treiber für GPU-Karten von Nvidia enthalten Schwachstellen, die es einem Angreifer erlauben Befehle auf dem betroffenen System mit höheren Rechten auszuführen. Die Attacken sind mit Hilfe manipulierter Shader möglich.  Hierdurch werden Fehler im Speichermanagement des Treibers ausgelöst. Neben Denial-of-Service-Attacken kann ein Angreifer so auch beliebigen Programmcode ausführen lassen.

Unter Linux wurden die folgenden Treiber nun entsprechend korrigiert:  390.151 (RTX/Quadro, NVS), 450.191.01 (Tesla R450), 470.129.06 (Tesla R510, RTX/Quadro, NVS) und 510.73.05 (GeForce, RTX/Quadro, NVS).

Der Beitrag Sicherheitslücken in GPU-Treibern von Nvidia erschien zuerst auf Linux-Magazin.

Vier Sicherheitslücken in der Zoom-Software haben unter anderem zur Folge, dass ein Angreifer Zoom-Chats abhören kann. Des Weiteren können Angreifer auch Schadcode ausführen. Alle Schwachstellen betreffen die Chat-Funktion der Applikation.  Verantwortlich für die Sicherheitslücken sind fehlende Eingabekontrollen beim Parsing.  Dadurch können Angreifer Attacken mit Hilfe spezieller Chat-Nachrichten ausführen. Der Angreifer muss lediglich in der Lage seine Nachrichten über das XMPP-Protokoll zu versenden.

Die Schwachstellen wurden kürzlich in einer neuen Zoom-Version korrigiert.

Der Beitrag Zoom: Angreifer können Chats abhören erschien zuerst auf Linux-Magazin.

Eine Sicherheitslücke in Atlassian Confluence hat zur Folge, dass ein entfernter Angreifer Befehle ausführen kann. Anschließend kann er dann eine Backdoor auf dem System installieren und so Zugriff auf das System erlangen. Die Attacke kann ohne vorherige Authentifikation durchgeführt werden. Die Sicherheitslücke wird aktuell vermehrt ausgenutzt. Als Backdoor verwenden Angreifer vorwiegend die Webshell China Chopper. Damit erhält der Angreifer vollen Zugriff auf das System.

Der Beitrag Atlassian Confluence: Backdoor erschien zuerst auf Linux-Magazin.

Eine Sicherheitslücke in dem Linux Kernel hat zur Folge, dass ein lokaler Angreifer Root-Rechte auf dem System erlangen kann. Das Problem betrifft den Firewall-Code des Kernels und tritt durch einen Use-After-Free-Fehler auf. Dabei wird bereits freigegebener Speicher wiederverwendet. Die Schwachstelle betrifft die meisten Linux-Systeme, die NFTables verwenden. Zum Ausführen der Attacke muss der Angreifer in der Lage seine eigene NFTables-Namespaces zu erzeugen. Auf Ubuntu-Systemen ist dies beispielsweise die Standardeinstellung. Für Ubuntu-Systeme wurde auch ein Exploit-Code veröffentlicht, der dem Angreifer direkt Root-Rechte auf dem System gibt.

Die Sicherheitslücke wurde Ende Mai im Kernel-Code korrigiert.

Der Beitrag Linux Kernel: Root-Rechte durch Fehler im Firewall-Code erschien zuerst auf Linux-Magazin.

Amazon hat kürzlich für Cloud-Kunden einen Hotpatch für die log4j-Sicherheitslücke bereitgestellt. Allerdings enthält das Skript des Hotpatchs selbst eine Schwachstelle, die es lokalen Angreifern erlaubt höhere Rechte auf dem System zu erlangen.

Die Aufgabe des Hotpatch-Skripts besteht darin, für die log4j-Schwachstelle anfällige Java-VMs zu finden und die Sicherheitslücke zu stopfen. In das Skript hat sich allerdings ein Race Condition-Fehler eingeschlichen. Dadurch kann ein Angreifer eine Binärdatei mit erhöhten Rechten auszuführen.

Anwendern wird dringend empfohlen die aktuelle Version des Hotfix via

yum update log4j-cve-2021-44228-hotpatch

zu laden.

Der Beitrag Amazon: log4j-Hotpatch fehlerhaft erschien zuerst auf Linux-Magazin.

Splunk ist eine Log-, Monitoring- und Reporting-Plattform, die Daten aus verschiedenen Quellen für Benutzer zugänglich und nutzbar macht. Splunk durchsucht hierzu Logs, Metriken und weitere Daten von Applikationen, Servern und Netzwerkgeräten und indiziert sie in einem durchsuchbaren Repository.

Im Security Information and Event Management-System (SIEM) Splunk wurden mehrere Sicherheitslücken entdeckt und kürzlich korrigiert. Unter den insgesamt 8 Sicherheitslücken findet sich auch eine kritische Schwachstelle.

Die kritische Sicherheitslücke betrifft den Splunk Enterprise Deployment Server. Das Problem tritt auf, wenn Clients ‘Forwarder Bundles’ an andere Clients ausliefern. Ein entfernter Angreifer kann dadurch Befehle auf den betroffenen Systemen ausführen. Weitere Schwachstellen mit hohem Risiko betreffen insbesondere den Umgang mit TLS-Zertifikaten.

Die Fehler wurden in der Version 9.0 korrigiert.

Der Beitrag Fehler in Sicherheits-Management von Splunk erschien zuerst auf Linux-Magazin.

Eine Schwachstelle in der Jira Applikation hat zur Folge, dass ein Angreifer Full-Read-Server-Side-Request-Forgery-Attacken durchführen kann. Damit kann der Angreifer unter anderen an Zugangsdaten von Benutzern gelangen. Die Attacke kann allerdings nur von Angreifern ausgenutzt werden, die sich am System anmelden können. Die eigentliche Sicherheitslücke befinden sich in dem Mobile Plug-in für Jira.

Server-Side-Request-Forgery-Attacken erlauben dem Angreifern, durch eine HTTP-Umleitung auf eigentlich nicht zugängliche Systeme zuzugreifen. Laut Atlassian hat eine Jira-Installation in einer AWS-Umgebung damit zur Folge, dass ein Angreifer an Zugangsdaten gelangen kann.

Von der Sicherheitslücke sind Jira Server und Data Center vor 8.13.22, von 8.14.0 bis 8.20.9 und von 8.21.0 bis 8.22.3 betroffen. Des Weiteren sind der Jira Service Management Server und Data Center vor 4.13.22, von 4.14.0 bis 4.20.9 und von 4.21.0 bis 4.22.3 ebenfalls anfällig.

Der Beitrag Jira: Zugriff auf Zugangsdaten erschien zuerst auf Linux-Magazin.

Google hat am Patchday im Juli die Android Version 10, 11, 12 und 12L gegen diverse Attacken abgesichert. Eine der nun korrigierte Sicherheitslücken gilt dabei als besonders kritisch. Sie betrifft die Android-System-Komponente und erlaubt dem Angreifer das Ausführen von Befehlen auf dem Android-Gerät. Der Report nennt keine genauen Details, aber die Attacke soll von dem Angreifer ohne weitere Rechte ausgenutzt werden können.

Zusätzlich wurden noch zwei weitere Schwachstellen (CVE-2022-20222, CVE-2022-20229) als kritisch bewertet.

Der Beitrag Android Patchday: Kritische Schwachstelle korrigiert erschien zuerst auf Linux-Magazin.

Der IT-Sicherheitsexperte Maxime Ingrao hat eine neue Android-Malware entdeckt, die sich in insgesamt 8 Apps in Google Play versteckt hat. Die Autoclyos genannte Schadsoftware bringt es auf circa drei Millionen Installationen auf Android-Geräten. Google hat die betroffenen Apps bereits aus Google Play entfernt. Unter anderem meldet die Schadsoftware die Anwender bei Premium-Diensten an. Die Schadsoftware kann nur schwierig entdeckt werden, da sie nicht auf Webview angewiesen ist. Die Kommunikation mit dem Command-and-Control-Server wird via http-Anfragen abgewickelt.

Der Beitrag Autoclyos Android-Schadsoftware erschien zuerst auf Linux-Magazin.

Insgesamt elf Sicherheitslücken in dem Chrome Browser haben unter anderem zur Folge, dass ein entfernter Angreifer Fehler im Speichermanagement provozieren und ausnutzen kann. Mehrere der elf Schwachstellen werden mit dem Bedrohungsgrad hoch eingestuft.

Bei einigen der Probleme handelt es sich um Fehler im Speichermanagement einiger Komponenten des Browsers. So kann ein Angreifer bei einigen Schwachstellen Use-After-Free-Fehler ausnutzen. Dabei wird auf Speicherbereiche zugegriffen, die vom Programmcode bereits freigegeben wurden. Der Angreifer kann dadurch die Anwendungen zum Absturz bringen oder eventuell auch Schadcode auf dem System ausführen. Letzteres wurde allerdings in dem offiziellen Advisory nicht bestätigt. Unter anderem sind die Guest-View und PDF-Komponenten des Browsers von derartigen Problemen betroffen.

Die Sicherheitslücken des Browsers wurden nun in der Version 103.0.5060.134 geschlossen.

Der Beitrag Google Chrome: Mehrere Sicherheitslecks korrigiert erschien zuerst auf Linux-Magazin.

Sicherheitslücken in LibreOffice haben zur Folge, dass entfernte Angreifer Makros ausführen können und auf verschlüsselte Passwörter zugreifen können.  Insgesamt liegen drei verschiedene Schwachstelle vor (CVE-2022-26305, CVE-2022-26306, CVE-2022-26307) deren Bedrohungsgrad das Bundesamt für Sicherheit in der Informationstechnik (BSI) CERT Bund als hoch einstuft.

Besonders kritisch ist ein Fehler bei der Behandlung von Makros. Normalerweise führt LibreOffice lediglich signierte Makros in Dokumenten aus. Eine der LibreOffice-Schwachstellen hat nun allerdings zur Folge, dass die Zertifikatsprüfungen nicht ordnungsgemäß durchgeführt werden.  Hierdurch kann der Angreifer auch nicht signierte Makros in Dokumenten ausführen.

Die Fehler wurden kürzlich in der Versionen 7.2.7 und 7.3.3 korrigiert.

Der Beitrag LibreOffice: Ausführen von Makros erschien zuerst auf Linux-Magazin.

Rsync ist sowohl ein Netzwerkprotokoll als auch ein beliebtes Programm zur Synchronisation von Dateien. Die Synchronisation läuft dabei nur unidirektional ab. Eine Sicherheitslücke in dem rsync-Client hat zur Folge, dass ein Angreifer Dateien im Zielverzeichnis des Clients überschreiben kann. Der Angreifer kann diese Schwachstelle auch ausnutzen, um Kontrolle über das System zu übernehmen. Hierzu kann er beispielsweise einen SSH-Schlüssel in die
.ssh/authorized_keys-Datei kopieren, um dann via SSH auf das System zuzugreifen.

Die Ursache des Problems besteht darin, dass der rsync-Client die Angaben des Servers nicht ordentlich kontrolliert. Der Programmierfehler tritt in der do_server_recv()-Funktion auf.

Betroffen sind die Versionen vor rsync 3.2.5.

Der Beitrag Rsync: Angreifer erlangt Zugriff auf betroffene Systeme erschien zuerst auf Linux-Magazin.

VMware hat kürzlich vier neue Sicherheitslücken in vRealize Operations gemeldet. Desweiteren hat VMWare vor einem im Umlauf befindlichen Exploit für eine ältere Sicherheitslücke gewarnt.

Durch die neuen Schwachstellen in vRealize Operations können Angreifer Root-Rechte erlangen, unbefugte Informationen einsehen oder Befehle mit höheren Rechten ausführen. Bereits Anfang August hatte VMWare vor einigen weiteren Schwachstellen gewarnt und darauf hingewiesen, dass ein schnelles Einspielen von Patches wichtig sei. Entsprechend ist es nicht überraschend, dass bereits jetzt ein Exploit für eine dieser Schwachstellen aufgetaucht
ist. Dieser Exploit greift Schwachstellen in VMWare Workspace ONE Access, Identity Manager und vRealize Automation an. Entfernte Angreifer können damit einen administrativen Zugang erlangen. Auch hat VMWare gemeldet, dass der Exploit Code aktuell vermehrt angewandt wird.

Der Beitrag VMWare: Kritische Sicherheitslücken erschien zuerst auf Linux-Magazin.

Verschiedene Sicherheitslücken in mehreren Varianten und Versionen der Zoom-Software führen dazu, dass ein entfernter Angreifer unter Umständen Befehle auf den betroffenen Systemen ausführen kann. Das Hauptproblem besteht darin, dass Zoom URLs nicht richtig filtert und kontrolliert. Dadurch kann ein Angreifer eine bösartige URL an sein Opfer via Zoom schicken. Der darin enthaltene Link führt dann dazu, dass beliebige Netzwerkadressen aufgerufen werden können. Zoom-Client for Meetings für Android, iOS, Linux, macOS und Windows sind von diesem kritischen Problem betroffen.

Eine Rechteausweitung in Zoom Rooms for Conference Rooms ist ebenfalls vor der aktuellen Version 5.11.0 möglich. Allerdings betrifft dieses Problem nur Windows-Systeme.

Die Sicherheitslücke wurde in der Version 5.11.0 behoben.

Der Beitrag Zoom: Mehrere kritische Schwachstellen erschien zuerst auf Linux-Magazin.

Eine Sicherheitslücke in NVidias NVFlare-SDK hat zur Folge, dass ein Angreifer eigenen Schadcode auf dem betroffenen System ausführen kann. Die Schwachstelle entsteht durch ein Problem bei der Verwendung des Python-Pickles-Moduls zum Serialisieren und Deserialisieren von Daten im DXO-Modul.  Es ist allgemein bekannt, dass Nutzer nicht beliebige Daten depicklen sollen, da dies ein Sicherheitsrisiko darstellt. Grundsätzlich ist es nämlich möglich die Daten so zusammenzustellen, dass beim Depickeln vom Angreifer gewünschter Programmcode ausgeführt wird.

Die Schwachstelle betrifft alle Versionen vor 2.1.4. In der aktuellen Version verwenden die Entwickler statt des Pickel-Moduls nun das MessagePack-Verfahren, wodurch das Problem nicht mehr auftritt.

Der Beitrag NVidias NVFlare-SDK Schwachstelle erschien zuerst auf Linux-Magazin.

Eine Sicherheitslücke in Google Chrome hat zur Folge, dass Angreifer betroffene Browser attackieren können. Das Advisory von Google enthält nur wenige Details zur Schwachstelle. Allerdings gibt das Unternehmen an, dass ein Exploit-Code zum Ausnutzen der Sicherheitslücke bereits im Umlauf ist. Es ist daher ratsam ein Update schnellstmöglich durchzuführen. Der verantwortliche Programmierfehler liegt in der Mojo-Komponente, die eine Plattform für verschiedene Sandbox-Services bereitstellt.

Das Problem wurde in Chrome 105.0.5195.102 korrigiert.

Der Beitrag Chrome: Attacke über Mojo-Komponente erschien zuerst auf Linux-Magazin.

Google hat mehrere Sicherheitslücken in Android 10, 11, 12 und 12L korrigiert.

Viele dieser Schwachstellen können von einem Angreifer ausgenutzt werden, um höhere Rechte auf dem System zu erlangen. Unter Umständen kann ein Angreifer damit auch Android-Geräte komplett übernehmen.  Neben diesen kritischen Sicherheitslücken wurden auch Schwachstellen korrigiert, die es einem entfernten Angreifer erlauben, an gesicherte Informationen der Android-Systeme zu gelangen. Auch ein Problem in der WLAN-Firmware von Qualcomm wurde korrigiert. Dadurch konnte ein Angreifer ebenfalls Schadcode auf dem System ausführen.

Zusätzlich erhielten Smartphones der Google Pixel-Serie noch einige weitere Sicherheitspatches, die ebenfalls kritische Schwachstelle schließen, die ein Angreifer zum Erlangen höherer Rechte ausnutzen kann.

Der Beitrag Android Schwachstellen korrigiert erschien zuerst auf Linux-Magazin.

Sicherheitslücken in den Firefox-, Firefox ESR- und Thunderbird-Applikation haben zur Folge, dass ein entfernter Angreifer Befehle auf dem System ausführen kann.

Einer der dafür verantwortlichen Programmierfehler tritt bei den Webbrowsern beim Verarbeiten von nicht-UTF8-URLs auf.  Durch weitere Schwachstellen können Angreifer auch unberechtigt an Informationen des Anwenders gelangen. Ursache hierfür sind Fehler beim Verarbeiten von Meta-Tags. Dadurch kann der Angreifer eigenen JavaScript-Code mit den Rechten des Anwenders ausführen.

Die Sicherheitslecks wurden nun in den Versionen Firefox 105, Firefox ESR 102.3 und Thunderbird 91.13.1 und ab Thunderbird 102.2.1 korrigiert.

Der Beitrag Updates für Firefox und Thunderbird erschien zuerst auf Linux-Magazin.

Sicherheitslücken in dem Bind-DNS-Server haben zur Folge, dass ihn entfernte Angreifer lahmlegen können.

Hierzu können die Angreifer Denial-of-Service-Attacken gegen die Server ausführen, um die Speicherressourcen des Servers komplett zu belegen. Sobald dies geschieht, arbeiten die Server nicht mehr richtig und können Client-Anfragen nicht mehr bedienen. Damit können etwa Namen nicht mehr zu IP-Adressen aufgelöst werden.

Insgesamt wurden vier Schwachstellen im Speicher-Managements des Bind-DNS-Servers gefunden. Unter anderem wurde ein Fehler im Programmcode zum Diffie-Hellman Schlüsseltauschs mittels TKEY RRs via OpenSSL entdeckt, den ein Angreifer für eine Denial-of-Service-Attacke ausnutzen kann. Ein weiteres Problem tritt beim Verarbeiten von CDSA-Signaturen bei der DNSSEC-Prüfung auf. Auch hier kommt es zu einem Speicherleck, welches ein entfernter Angreifer ausnutzen kann.

Die Fehler im Speichermanagement wurden in den Versionen 9.19.5, 9.18.7 und 9.16.33 nun korrigiert.

Der Beitrag Bind-DNS-Server anfällig für Denial-of-Service-Attacken erschien zuerst auf Linux-Magazin.

Drupal ist ein Content-Management-System (CMS) und -Framework. Es ist in PHP geschrieben und verwendet MySQL/MariaDB (empfohlen), PostgreSQL (unterstützt), SQLite (ab 7.x) oder MSSQLServer (per Erweiterung) als Datenbanksystem.

Eine Sicherheitslücke in dem Drupal CMS hat zur Folge, dass entfernte Angreifer unberechtigt auf Daten zugreifen können. Verantwortlich hierfür ist ein Programmierfehler in der Twig-Bibliothek, die unter anderem für das Überprüfen von Templates zuständig ist. Ein Angreifer kann durch diese Schwachstelle an Zugangsdaten für die Datenbank gelangen. Eine weitere Sicherheitslücke in dem S3-File-System-Modul kann von einem Angreifer ebenfalls für den unberechtigten Zugriff ausgenutzt werden.

Der Beitrag Drupal CMS: Entfernter Angreifer erlangt Zugriff erschien zuerst auf Linux-Magazin.

Die JavaScript-Sandbox vm2 führt potenziell unsicheren JavaScript-Code in einer isolierten Umgebung aus. Dieses Sandboxing sorgt dafür, dass fremder JavaScript-Code keinen Zugriff auf das System erlangt. Die vm2-SandBox basiert auf Node.js und ist eine verbreitete Alternative zu dessen integrierter virtuellen Maschine.

Eine kürzlich entdeckte Sicherheitslücke in der JavaScript-Sandbox vm2 hat zur Folge, dass entfernte Angreifer Befehle ausführen können. Die Attacke läuft über die Error-API der JavaScript-Engine V8.

Der verantwortliche Programmierfehler befindet sich in dem Error-Tracing-Code. Dessen Aufgabe ist es, Fehler aufzuspüren und zu verfolgen.  Dazu verwendet die JavaScript-Engine V8 die Error.prepareStackTrace-API. Node.js nutzt ebenfalls diese Methode und gibt ihr CallSite-Objekte als Parameter mit. Bei der Verarbeitung dieser Objekte tritt ein Fehler auf, der es dem Angreifer erlaubt aus der SandBox auszubrechen.

Betroffen ist die Version 3.9.11.

Der Beitrag Schwachstelle in JavaScript-Sandbox vm2 erschien zuerst auf Linux-Magazin.

Eine Sicherheitslücke im Linux-Kernel hat zur Folge, dass ein entfernter Angreifer beliebigen Code auf dem System ausführen kann. Hierzu muss der Angreifer lediglich speziell präparierte WLAN-Pakete an das Linux-System schicken. Der verantwortliche Programmierfehler liegt im WLAN-Stack des Kernels. Ein Proof-of-Concept-Exploit wurde ebenfalls für die Schwachstelle veröffentlicht. Bei der genaueren Analyse der Sicherheitslücke wurden insgesamt fünf Schwachstellen im Kernel entdeckt.

Die entdeckten Schwachstellen sind teilweise ab Kernel-Version 5.1-rc1 vorhanden. Andere allerdings erst seit Version 5.2-rc1.

Der Beitrag Sicherheitslücke im Linux-Kernel: Angreifer können Befehle über WLAN ausführen erschien zuerst auf Linux-Magazin.