y0o.de · GNU/Linux Nachrichten u.Ä.

🔒
❌ Über y0o.de
Es gibt neue verfügbare Artikel. Klicken Sie, um die Seite zu aktualisieren.
Heute — 18. Juni 2021Haupt-Feeds

Neue Lücke mit Exploit in Chrome

18. Juni 2021 um 10:47

Googel hat erneut vor Sicherheitslücken in seinem Browser Chrome gewarnt und stellt im stable Channel ein Update zur Verfügung. Auch für eine dieser Lücken gibt es einen Exploit.

Google Chrome 91.0.4472.114 für Linux, Mac und Windows schließt vier Sicherheitslücken. Alle vier sind von ihrem Bedrohungslevel als Hoch eingestuft und alle vier seien von externen Sicherheitsexperten entdeckt worden, heißt es seitens Google von Srinivas Sista, dem technischen Programm-Manager von Chrome.

Für eine der Lücke (CVE-2021-30554) sei bereits ein Exploit im Umlauf, so Sista weiter. Es handle sich bei der Lücke um ein Use after free-Problem in WebGL. Mehr Details zu Art des Speicherfehlers in WebGL nennt der Manager nicht.

Auch die drei weiteren Probleme basieren auf Speicherfehlern in unterschiedlichen Komponenten des Browsers. genannt sind die Bereiche Sharing, WebAudio und TabGroups.

Google hatte bereits vor einigen Tagen vor Sicherheitsproblemen in Chrome gewarnt, für die bereits Exploits im Umlauf sind. Das Update für Chrome, das die Lücken schließt, sei im stable Channel verfügbar und werde nun ausgerollt.

Der Beitrag Neue Lücke mit Exploit in Chrome erschien zuerst auf Linux-Magazin.

Ältere BeiträgeHaupt-Feeds

Google warnt vor Chrome-Exploit

10. Juni 2021 um 12:19

Google schließt mit einem Update seines Chrome-Browsers diverse Sicherheitslücken. Für eine davon sei ein Exploit unterwegs.

Wie gewohnt ist Google bei der Ankündigung seiner Browser-Aktualisierungen sparsam mit Informationen. Die Chrome-Version 91.0.4472.101 schließe 14 Sicherheitslücken, heißt es in der Ankündigung. Eine davon, CVE-2021-30551, wird bereits über einen Exploit ausgenutzt, so Google. Der mit der Qualifizierung „high“eingestufte Bug steckt in der Javascript-Engine V8 des Chrome-Browsers. Angreifer können damit eine Type-Confusion auslösen, so Google in der Meldung zum Update. Weitere Details verrät Google nicht, vermutlich lässt sich über diesen Speicherfehler dann aber Code ausführen.

Ein Update des Browsers ist also dringend nötig, auch weil es weitere Sicherheitslücken mit hohem und kritischem Risiko geschlossen werden.

Der Beitrag Google warnt vor Chrome-Exploit erschien zuerst auf Linux-Magazin.

Sicherheitslücken: Mailserver Exim braucht Update

07. Mai 2021 um 10:36

Das Sicherheitsunternehmen Qualys hat den Mailserver Exim nach eigenen Angaben im vergangenen Herbst einem Audit unterzogen. Dabei sind eine ganze Reihe von Sicherheitsproblemen zutage getreten. Die jetzt verfügbare Exim-Version 4.94.2 beseitigt die Probleme.

Insgesamt hat das Audit der zentralen Bestandteile des Mail Transfer Agents (MTA) Exim 21 Sicherheitslücken aufgespürt. Davon seien 11 lokaler Natur, 10 davon aber ließen sich remote ausnutzen. Es sei zudem davon auszugehen, dass alle verfügbaren Exim-Versionen davon betroffen seien, seit das Projekt im Jahr 2004 seine Git-Historie gestartet hat, teilen die Security-Experten von Qualys mit, die das Audit abgehalten haben.

Wie Qualys in der Mitteilung zu den Lücken schreibt, habe das Unternehmen nicht versucht, Exploits für alle Sicherheitslücken zu finden. Exemplarisch habe man stattdessen sieben Exploits ausgearbeitet, mit vier ließen sich lokale Privilegien erhöhen, bis hin zum Root und mit den übrigen drei Lücken seien Remote Code Executions möglich. Im Advisory von Qualys sind zwar die Exploits nicht veröffentlicht, aber viele Informationen, die darauf hinwiesen.

Der Exim MTA gilt als äußerst weit verbreitet und ist bei vielen Linux-Distrbutionen vorinstalliert, unter anderem bei Debian, lässt Bharat Jogi, Chef von Qualys wissen. Einer jüngst veröffentlichten Studie zufolge laufen 60 Prozent der Internet-Server mit Exim, so Bharat Jogi. Der CEO sieht die Bedrohung als äußert ernst an: Mail Transfer Agents sind interessante Ziele für Angreifer, da sie in der Regel über das Internet zugänglich sind. Einmal ausgenutzt, könnten sie sensible E-Mail-Einstellungen auf den Mail-Servern ändern und es Angreifern ermöglichen, neue Konten auf den Ziel-Mail-Servern zu erstellen. Letztes Jahr war die Schwachstelle im Exim Mail Transfer Agent (MTA) ein Ziel russischer Cyber-Akteure, die offiziell als Sandworm-Team bekannt sind, schreibt Bharat Jogi in seinem Blogbeitrag.

Der Beitrag Sicherheitslücken: Mailserver Exim braucht Update erschien zuerst auf Linux-Magazin.

Drupal braucht Update wegen kritischer Sicherheitslücke

23. April 2021 um 12:22

Das freie Content Management System (CMS) Drupal birgt eine kritische Sicherheitslücke. Die Entwickler schließen diese mit einem Patch. Anwender sollten ihr CMS aktualisieren.

Das Problem stecke in Drupals Core Sanitization API, teilen die Entwickler mit. Es gelinge dort unter bestimmten Umständen nicht, Cross-Site-Scripting auszufiltern. Welche Umstände dies sind, wird nicht mitgeteilt. Nach Ansicht der Entwickler sind zwar nicht alle Anwender des CMS verwundbar, da es Konfigurationen gäbe, die einen Angriff verhindern, es sei aber dringend anzuraten, dass alle Websites mit Drupal als CMS bald aktualisiert werden.

In der Mitteilung sind die Versionen und die dafür nötigen Updates genannt.

  • Drupal 9.1 auf Drupal 9.1.7.
  • Drupal 9.0  auf Drupal 9.0.12.
  • Drupal 8.9  auf Drupal 8.9.14.
  • Drupal 7  auf Drupal 7.80.

Für die Drupal Versionen von Drupal 8 vor der Version 8.9.x gibt es keine gepatchten Versionen mehr, die seien bereits End-of-life, heißt es in der Mitteilung.

Der Beitrag Drupal braucht Update wegen kritischer Sicherheitslücke erschien zuerst auf Linux-Magazin.

Google schließt Sicherheitslücken in Chrome

22. April 2021 um 10:48

Mit dem Update des Stable-Channels seines Browsers Chrome auf Version 90.0.4430.85 beseitigt Google einige gefährliche Sicherheitslücken, für die in einem Fall bereits Exploits kursieren.

Ein Update des Browsers auf die neue Version ist angeraten, sollten die automatischen Update-Einstellungen nicht zur Anwendung kommen. Google führt die technischen Details zu den Lücken wie gewohnt nicht näher aus. Bei allen fünf genannten Sicherheitsproblemen ist das Risiko als Hoch eingestuft. Bei der Lücke, für die es nach Erkenntnissen des Anbieters Exploits gibt, handelt es sich um eine Type Confusion in V8. Mit V8 ist Googles Open-Source-Engine zum Ausführen von JavaScript-Code gemeint. Anscheinend lässt sich die Engine austricksen, indem sie die Datenverarbeitung für einen bestimmten Eingabe-Typ startet, und dann aber mit einem anderen Typ weitermacht. Die Type-Confusion führt regelmäßig zu Logik-Fehlern im Speicher der Anwendung und lässt sich zu verschiedenen böswilligen Angriffen ausnutzen, bis hin zur Ausführung von beliebigem Code. Das Update schließt noch eine weitere Lücke in der V8-Engine und weitere Speicherfehler nebst Bufferoverflows, teil Google mit.

Der Beitrag Google schließt Sicherheitslücken in Chrome erschien zuerst auf Linux-Magazin.

Sicherheitslücken: Googles Projekt Zero mit neuen Meldefristen

19. April 2021 um 11:04

Google hat die Meldeverfahren für sein Projekt Zero geändert, das sich mit dem Auffinden von Sicherheitslücken befasst. Ab sofort gelten andere Fristen für die Information der Öffentlichkeit über technische Details zu Sicherheitslücken.

Das Ziel von Googles Project Zero ist das Auffinden von Zero-Day-Sicherheitslücken in Hardware- und Softwaresystemen. Gegründet im Jahr 2014 sind die Google-Security-Experten damit beschäftigt, unter anderem auch die eigenen Softwareangebote nach Lücken abzuklopfen. Zu den Prüfkandidaten zählen die Forscher Webbrowser wie Chrome, Open-Source-Bibliotheken aber auch mobile Betriebssysteme wie das hauseigene Android-System. Dadurch soll sich weltweit die Sicherheit der Nutzer im Internet erhöhen.

Be Google Zero Day war man bislang so verfahren, dass man den Softwareanbieter über eine gefundenen Sicherheitslücke informierte und ihm dann 90 Tage Zeit gab, darauf mit einem Patch oder Fix zu reagieren. Nach diesen 90 Tagen hat Google dann die Öffentlichkeit informiert, egal, ob es einen Patch gab oder nicht. Eine Fristverlängerung von 14 Tagen räumte sie den betroffenen Softwareanbietern auf Antrag ein. Ab sofort ändert sich dieses Verfahren. Google gibt wie bisher 90 Tage Zeit und veröffentlicht die Lücke dann aber nur, wenn sie ungepatcht bleibt. Auch hier sind 14 Tage Fristverlängerung möglich. Ist die Lücke gepatcht, gibt Google in seiner neuen Policy nun weitere 30 Tage hinzu, bevor es die Öffentlichkeit informiert.

Neu sind auch die Fristen für Sicherheitslücken, die aktiv ausgenutzt werden. Bislang wurden die jeweils sieben Tage nach der Benachrichtigung des Anbieters veröffentlicht, egal ob es einen Patch gab oder nicht. Verlängerungsfristen wurden nicht eingeräumt.

Die sieben Tage Frist gilt auch weiterhin, aber nur dann, wenn die Lücke ungepatcht bleibt. Gibt es einen Patch, gewährt Google Zero weitere 30 Tage bis zur Veröffentlichung. Softwareanbieter können zudem eine dreitägige Fristverlängerung beantragen. Weitere Details nennt Google Project Zero in seinem Beitrag zu den Policys.

Der Beitrag Sicherheitslücken: Googles Projekt Zero mit neuen Meldefristen erschien zuerst auf Linux-Magazin.

Cisco-Router brauchen Sicherheitsupdate

19. März 2021 um 10:47

Zwei Router von Cisco ermöglichen einem Angreifer unter Umständen Root-Zugriff. Betroffen sind die Modelle RV132W ADSL2+ Wireless-N VPN und RV134W VDSL2 Wireless-AC VPN.

Cisco stellt ein Update der Firmware für die Router bereit, die die Sicherheitsprobleme beseitigen. Mit den Firmware-Versionen 1.0.1.15 und 1.0.1.21 sollten die Lücken dann geschlossen sein. Sämtliche ältere Versionen aber enthalten das Problem, sodass dringen ein Update empfohlen ist.

Das Problem steckt im webbasierten Interface der Router. Dort werden Nutzereingaben nicht richtig validiert, heißt es im Security-Advisory von Cisco. Ergebnis davon sei, das über speziell manipulierte HTTP-Requests ein Angreifer aus der Ferne sich mit Root-Rechten ausstatten könne und dann Code ausführen oder einen Neustart des Routers erzwingen könne. Das Update der Firmware ist die einzige Möglichkeit, das Problem zu beseitigen, schreit Cisco, es gäbe keine Workarounds. Wie Cisco weiter mitteilt, sei bislang kein Exploit für die Lücke bekannt. Entdeckt hat die Sicherheitslücke Shizhi He von der Wuhan Universität. Das Risiko der Lücke ist als Hoch eingestuft. Im Advisory sind weitere Informationen und die Links zur gepatchten Firmware enthalten.

Der Beitrag Cisco-Router brauchen Sicherheitsupdate erschien zuerst auf Linux-Magazin.

Googel beseitigt kritische Lücken in Chrome

15. März 2021 um 10:14

Mit dem Update auf Version 89.0.4389.90 ist der Chrome-Browser von Google fünf Sicherheitslücken los.

Eine der in Chrome nun geschlossenen Lücken (CVE-2021-21193) lässt sich nach den Erkenntnissen von Google über einen Exploit ausnutzen, heißt es im Chrome-Blog. Wie gewohnt hält Google Informationen zu den Sicherheitsproblemen zurück, um Angreifern keine Einblicke zu gewähren. Die möglicherweise bereits durch einen Exploit ausgenutzte Lücke steckt demnach als Use-after-free-Fehler in Blink, der HTML-Rendering-Engine von Chrome. Es handelt sich also um einen Speicherfehler, den durch den Exploit ausnutzen können. Das Risiko dieses Sicherheitsproblems ist als “Hoch” eingestuft. Diese Einstufung gilt auch für zwei weitere Sicherheitslücken, die von externen Experten gefunden wurden.

Mit Chrome 89.0.4389.90 sind in den Browser-Versionen für Linux, Mac und Windows diese Probleme beseitigt. Eine komplette Übersicht zu den Änderungen enthält die Log-Datei.

Der Beitrag Googel beseitigt kritische Lücken in Chrome erschien zuerst auf Linux-Magazin.

Git 2.30.2 schließt Sicherheitslücke

11. März 2021 um 11:28

Mit einem Maintenance-Release schließen die Entwickler des Versionskontrollsystems Git eine Sicherheitslücke, die sich zum Ausführen von Code ausnutzen lässt.

Das Problem steckt im Git-Client, der sich beim Klonen eines untergejubelten Repositories mit symbolischen Links unter bestimmten Umständen täuschen lässt und dann ungewollt Code ausführt. Das Problem besteht nur, wenn das Kloning auf case-sensitive Dateisysteme wie NTFS, HFS+ oder APFS geschieht. Außerdem muss Git global konfiguriert sein und damit den Einsatz einiger spezieller Filter wie Git LSF erlauben. Unter Windows ist dieser Filter standardmäßig konfiguriert. Gefährlich daran ist, dass sich die Lücke remote ausnutzen lässt. Das Git-Team hat die Lücke behoben und stellt Updates bereit, die Ankündigung auf der Mailingliste verlinkt die Download-Möglichkeiten. Die Lücke wird unter CVE-2021-21300 geführt.

Der Beitrag Git 2.30.2 schließt Sicherheitslücke erschien zuerst auf Linux-Magazin.

BSI warnt Firmen vor kritischen Lücken in Exchange-Servern

09. März 2021 um 11:16

Das Bundesamt für Sicherheit in der Informationstechnik(BSI) warnt davor, dass in Deutschland zehntausende Exchange-Server nach Informationen des IT-Dienstleisters Shodan über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert sind.

Betroffen von den Sicherheitsproblemen seien Organisationen jeder Größe, teilt das BSI mit. Das Bundesamt habe inzwischen damit begonnen, potenziell Betroffene zu informieren. Dazu habe man sich in einem postalischen Schreiben direkt an die Geschäftsführungen derjenigen Unternehmen gewandt, deren Exchange-Server nach Kenntnis des BSI betroffen sind. Das Schreiben enthalte dann Empfehlungen für Gegenmaßnahmen. Laut dem BSI sind mehr als 9000 Unternehmen kontaktiert worden. Das Bundesamt geht aber davon aus, dass die tatsächliche Anzahl verwundbarer Systeme in Deutschland deutlich höher liegt

Microsoft hatte Anfang März kurzfristig Sicherheitsupdates für den Exchange-Server veröffentlicht und damit vier Schwachstellen geschlossen. Diese Sicherheitslücken werden laut BSI aktiv ausgenutzt und erlauben Remote-Zugriff. Da Exchange-Server in vielen Infrastrukturen hohe Rechte im Active Directory besitzen, seien weitergehende Angriffe mit den Rechten eines übernommenen Exchange-Servers auf die gesamte Domäne denkbar.

Das BSI warnt drastisch vor der Bedrohung: Bei Systemen, die bis dato nicht gepatched wurden, sollte von einer Kompromittierung ausgegangen werden. Das Einspielen der Sicherheitsupdates sei dringend nötig.

Der Beitrag BSI warnt Firmen vor kritischen Lücken in Exchange-Servern erschien zuerst auf Linux-Magazin.

Tails 4.16 bringt mehr Sicherheit

24. Februar 2021 um 12:24

Mit Tails 4.16 bringen die Entwickler des Live-Systems zum anonymen Surfen unter anderem die Software auf den neuesten Stand. Durch die Aktualisierungen werden auch mehrere kritische Sicherheitslücken geschlossen, kündigen die Macher an. 

Schon aus diesem Grund sei ein Update dringend empfohlen, heißt es in der Ankündigung. Mit dem Linux-Kernel 5.10.13 sind weitere Verbesserungen verbunden, etwa die Unterstützung von neuerer Hardware wie Grafikkarten, WLAN-Chips und ähnlichem, heißt es in den Release Notes.

Das Update von Tor auf 0.4.5.5 und des Tor-Browsers auf 10.0.12 und damit verbunden ein Update auf Firefox 78.0 bringen weitere Sicherheitsfeatures. Bei den Problemlösungen, die diese Version mitbringt, zählt, dass nun der Cancel-Button bei der Ankündigung von Upgrades nicht mehr standardmäßig fokussiert ist. Damit soll verhindert werden, dass die Upgrades ungewollt weggeklickt werden. Das Changelog fasst die Änderungen zusammen.

Tails hat mit Version 4.14 und früher ein Problem mit automatischen Updates. Nutzer, die Tails 4.14 oder älter nutzen, müssen manuell upgraden oder die Upgrade-Funktion über das Terminal reparieren. In der Ankündigung ist beschrieben, wie das funktioniert.

Der Beitrag Tails 4.16 bringt mehr Sicherheit erschien zuerst auf Linux-Magazin.

OSV: Google Datenbank zu Lücken in Open-Source-Software

08. Februar 2021 um 13:12

Mit Open Source Vulnerabilities (OSV) hat Google eine Datenbank zu Schwachstellen in Open Source Software gestartet. Dort sollen sich präzise Daten darüber finden, wann Sicherheitslücken eingeführt und gefixt wurden.

Anwender sollen so ein Instrument an die Hand bekommen, mit dem sie prüfen können, ob ihre Software von Sicherheitsproblemen betroffen ist, heißt es im Google-Blog. Die Datenbasis zum Start stammt von Googles Test-Tool OSS-Fuzz, später sollen weitere Daten aus verschiedenen Quellen hinzukommen wie etwa Go, NPM, PyPi. Laut Google beinhaltet OSV derzeit etwa 25.000 Schwachstellen aus über 380 kritischen Open-Source-Projekten. Die meisten davon sind in C und C++ geschrieben.

Nutzer sollen sich via API über ihre Software informieren können, indem sie eine Abfrage an OSV senden, die eine Paketversion oder einen Commit-Hash beinhaltet. Dafür braucht es aber einen API-Key von Googles Cloud Console. Die Metadaten der Schwachstelle werden dann in maschinenlesbarem JSON-Format zurückgegeben.

Die OSV-Webseite findet sich hier. Das Projekt ist unter der Apache-Lizenz auf Github zu finden. Es gibt auch eine Mailingliste.

Der Beitrag OSV: Google Datenbank zu Lücken in Open-Source-Software erschien zuerst auf Linux-Magazin.

Debian 10.8 beseitigt Bugs

08. Februar 2021 um 11:00

Mit einem Point-Release auf Debian Buster 10.8 beseitigt das Projekt zahlreiche Sicherheitslücken und Fehler in der Distribution.

Debian hat seine Buster-Edition auf Version 10.8 gebracht. Die Release Notes berichten von zahlreichen Fehlerkorrekturen und geschlossenen Sicherheitslücken. Wie gewohnt merkt das Debian-Team an, dass es nicht nötig sei, ältere Installationsmedien wegzuwerfen. Wer Debian ohnehin regelmäßig über “security.debian” aktualisiere, müsse zudem nur wenige Dateien herunterladen.

Zu den beseitigten Sicherheitslücken zählt eine im Paket “atftp”, über die eine DoS-Attacke möglich war. Außerdem kann bei Kakti nun eine Code-Injection verhindert werden. Im Mailprogramm Dovecot führt nun die Suche in Mailboxen, die beschädigte Mime-Formate enthalten nicht mehr zu einem Absturz des Programms. Erneuert wurden auch die Nvidia-Grafiktreiber, was gleichzeitig für die Schließung von Sicherheitslücken sorgte, über die DoS-Attacken und Zugriff auf Daten möglich waren. Auch in Wireshark sind zahlreiche Sicherheitslücken geschlossen worden.

Der Beitrag Debian 10.8 beseitigt Bugs erschien zuerst auf Linux-Magazin.

Popup Builder: WordPress-Plugin braucht Update

01. Februar 2021 um 11:32

Das WordPress-Plugin Popup Builder dient in WordPress dazu, Popups auf einer Webseite zu integrieren und zu managen. In Version 3.7.1 und jünger stecken nach Erkenntnissen der Sicherheitsexperten von Webarx mehrere Lücken in der Authorisierung von Ajax-Methoden.

Laut der Mitteilung von Webarx hat das Plugin über 200.000 Nutzer. Über die Lücken sei es unter anderem möglich, Newsletter zu verschicken und Subscriber einer Seite zu entfernen oder von einer entfernten URL zu importieren.

Die Entdecker der Lücke haben die Entwickler des Plugins Anfang Dezember 2020 informiert. Zunächst sei dann Version 3.7.1 veröffentlicht worden, die aber lediglich den Versand von Newslettern verhinderte. Nach neuerlicher Information der Entwickler sei zunächst keine Antwort erfolgt, bis am 22. Januar dann die Version 3.7.2 von Popup Builder erschienen sei. Diese Version schließe die gemeldeten Lücken, so Webarx in der Mitteilung zu den Problemen. Dort sind auch Code-Beispiele zu finden, wie sich die Sicherheitslücken ausnutzen ließen.

Der Beitrag Popup Builder: WordPress-Plugin braucht Update erschien zuerst auf Linux-Magazin.

Lücke in sudo ermöglicht Root-Rechte

28. Januar 2021 um 10:23

Eine kritische Sicherheitslücke in sudo erlaubt es lokalen Angreifern, sich Root-Rechte zu verschaffen. Das Sicherheitsunternehmen Qualys hat die Lücke entdeckt, die den Experten zufolge schon seit 2011 in sudo stecken soll.

Verantwortlich für die Sicherheitslücke (CVE-2021-3156) ist ein heap-basierender Buffer-Overflow. Er lässt sich laut den Analysen von Qualys lokal ausnutzen, um sich Root-Rechte auf einem System zu verschaffen ohne sich Authentifizieren zu müssen, sprich ohne Passwort-Eingabe. Laut Qualys wurde das Problem mit einem Commit im Jahr 2011 eingeführt. Es betreffe alte (Version 1.8.2 bis 1.8.31p2) und auch die aktuellen stable Versionen (1.9.0 bis 1.9.5p1) von sudo in der Standard-Konfigration. Ein Update auf die gepatchte Version sudo 1.9.5p2 ist deshalb angeraten. Einige Distributionen haben bereits reagiert.

Bei Qualys sind nach eigenen Angaben drei Exploits entwickelt worden, mit denen sich volle Root-Rechte auf Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) und Fedora 33 (Sudo 1.9.2) erschleichen ließen. Andere Systeme und Distributionen seien vermutlich ebenfalls betroffen.

Ubuntu 20.04 LTS ist bereits gepatcht und gibt entsprechend eine Fehlermeldung mit “usage” aus.

Im Blogbeitrag von Qualys ist beschrieben, wie man testen kann, ob die verwendete Distribution betroffen ist. Dafür genüge die Eingabe des Kommandos “sudoedit -s/”. Verwundbare Systeme geben daraufhin einen Fehler aus, der mit “sudoedit” beginnt. Gepatchte Systeme geben ebenfalls eine Fehlermeldung aus, die aber mit “usage” beginnt. Qualys hat zudem ein Video zu den erfolgreichen Exploits veröffentlicht.

Zu den Distributionen, die gepatchte Versionen veröffentlicht haben, zählen unter anderem Suse, Opensuse, Red Hat, Fedora, Ubuntu, Debian, Gentoo, Fedora und Arch Linux.

Der Beitrag Lücke in sudo ermöglicht Root-Rechte erschien zuerst auf Linux-Magazin.

Sicherheitslücke: Drupal braucht Updates

22. Januar 2021 um 12:33

Das freie Content Management System Drupal nutzt eine fehlerhafte Bibliothek eines Drittanbieters namens “pear Archive_Tar library”. Für das CMS öffnet die Bibliothek eine Lücke, über die Zugriff auf die Webserver zugreifen.

Der Angriff funktioniert laut den Entwicklern aber nur, wenn Drupal so konfiguriert ist, das der Upload von Archiven wie .tar, .tar.gz, .bz2 oder .tlz erlaubt ist. Die fehlerhafte Bibliothek ist für die Abarbeitung dieser Archive zuständig. Durch einen Bug beim Check von symbolischen Links eröffnet sich die Möglichkeit einer Directory-Traversal-Attacke.

Die Entwickler empfehlen dringen ein Update auf die aktuellen Drupal-Versionen 9.0.11, 8.9.13 oder 7.78. Vorsorglich weisen die Entwickler daraufhin, dass Versionen von Drupal 8, die älter sind als 8.9, keine Updates mehr erhalten Administratoren können als Workaround auch den Upload der komprimierten Archive abschalten

Der Beitrag Sicherheitslücke: Drupal braucht Updates erschien zuerst auf Linux-Magazin.

OpenSSF stellt CVE-Benchmark vor

15. Dezember 2020 um 11:24

Die Open Source Security Foundation (OpenSSF) hat bei der jüngst beendeten Black Hat Europe eine neue Initiative für mehr Sicherheit im Code vorgestellt: Den OpenSSF CVE Benchmark.

In den Benchmark hat die OpenSSF nach eigenen Angaben die Metadaten von mehr als 200 historischen Sicherheitslücken in JavaScript und TypeScript verpackt. Außerdem enthält der Benchmark angreifbaren Code. Außerdem enthalten sind Tools, mit denen sich die Codebasen der betroffenen Software analysieren lassen. Mit diesen Real-World-Analysen sollen Sicherheitsexperten in der Lage sein, diverse Security-Tools zu evaluieren.

Die OpenSSF sieht mehrere Vorteile in diesem Ansatz. Gegenüber den Tests mit synthetischen Code böten die echten, historischen CVEs reale Bedingungen und reale Codebasen. Außerdem ließe sich anschließend die gepatchte Version jede Codebasis erneut prüfen und damit die False-Positiv-Rate der Tools genau bestimmen.

Der Benchmark könne für jede der 200 Lücken feststellen, ob das Tool die Lücke aufspürt oder false Negatives liefert. Außerdem prüfe der Benchmark, b die gepatchte Version richtig erkannt werde.

Die OpenSSF ruft die Community zur Hilfe auf. Die bisher enthaltenen Tools ESLint, Nodejsscan und CodeQL sollen möglichst um weitere ergänzt werden. Auch bei den Datensätzen wäre Zuwachs erwünscht. Der Benchmark ist auf Github zu finden.

Der Beitrag OpenSSF stellt CVE-Benchmark vor erschien zuerst auf Linux-Magazin.

Google schließt Sicherheitslücken in Chrome

08. Dezember 2020 um 11:18

Mit der neuen Version 87.0.4280.88 des Browsers Chrome hat Google diverse Sicherheitslücken beseitigt.

Die neue Version soll in den kommenden Tagen bei den Nutzern landen. Versionen für Linux, Windows und Mac OS sind verfügbar. Anscheinend waren alle von den Sicherheitsproblemen betroffen.

Wie gewohnt gibt Google keine Details zu den Sicherheitsproblemen bekannt, um nicht ungewollt Angreifer mit Informationen zu versorgen, bevor das Update nicht bei den Nutzern ist. In einer Meldung werden aber drei Sicherheitslücken mit hohem Risiko klassifiziert.

Alle drei Lücken stehen im Zusammenhang mit fehlerhafter Behandlung von dynamischem Speicher. Durch die sogenannten Use-after-free-Bugs, bei denen ein Programm den dynamischen Speicher nicht korrekt freigibt, lassen sich diese Programme eventuell durch Angreifer ausführen. Laut Google stecken die Lücken in Clipboard, Media und Extensions.

Der Beitrag Google schließt Sicherheitslücken in Chrome erschien zuerst auf Linux-Magazin.

VMware patcht Workspace und mehr

04. Dezember 2020 um 12:57

Anbieter VMware hat Patches für diverse Software-Lösungen herausgegeben. Diese schließen eine Sicherheitslücke, die mit der Gefahrenstufe “hoch” charakterisiert ist.

Die Lücke lässt sich mittels Command Injection ausnutzen, sofern der Angreifer Netzwerkzugang auf den Administrator Connector über Port 8443 und ein gültiges Passwort für den Konfigurator-Admin-Account hat. Gelingt es einem Angreifer, an so ein Passwort via Phishing oder ähnliche Methoden heranzukommen, kann er uneingeschränkt Befehle mit unbeschränkten Privilegien auf dem unterliegenden Betriebssystem ausführen.

Zu den betroffenen Produkten zählt der Hersteller:Workspace One Access, Workspace One Access Connector, Identity Manager (vIDM), Identity Manager Connector (vIDM Connector), Cloud Foundation und vRealize Suite Lifecycle Manager.

Die Patches und die dabei zum Einsatz kommenden Versionen der jeweiligen Software hat VMware hier aufgelistet. Die Lücke trägt die Bezeichnung CVE-2020-4006. Bislang galt es für Admins ihre Systeme mit einem Workaround abzusichern.

Der Beitrag VMware patcht Workspace und mehr erschien zuerst auf Linux-Magazin.

Bleedingtooth: Mehrere Bluetooth-Lücken in Linux

15. Oktober 2020 um 11:56

Sicherheitsforscher warnen vor mehreren Sicherheitslücken in der Linux-Bluetooth-Implementierung Bluez. Eine davon ist schwerwiegend und erlaubt Remote Code Execution. Dem aktuellen Kernel 5.9 fehlen die Patches dagegen.

Noch ist nicht viel bekannt über die neuen Bluetooth-Lücken. Immerhin haben sie mit Bleedingtooth (CVE-2020-12351, CVE-2020-12352 und CVE-2020-24490) bereits einen Namen. “Bleedingtooth besteht aus einer Reihe von Zero-Klick-Sicherheitslücken im Linux-Bluetooth-Subsystem, die es einem nicht authentifizierten entfernten Angreifer auf kurze Distanz erlauben könnten, beliebigen Code mit Kernel-Privilegien auf verwundbaren Geräten auszuführen”, fasst Nguyen die Problematik auf Twitter zusammen.

Weitere Details würden in Kürze in einem Blogeintrag in Googles Sicherheitsblog veröffentlicht. Wie ein Angreifer über die Bluetooth-Lücke Code auf einem Laptop mit Ubuntu ausgeführt werden kann, demonstriert derweil ein Proof-of-Concept-Video. Auch Proof-of-Concept-Code für die schwere Lücke ist verfügbar.

Während Andy Nguyen, Sicherheitsforscher bei Google, von einer Code-Ausführung ohne Interaktion innerhalb der Bluetooth-Reichweite berichtet, will Intel nur eine Rechte-Ausweitung sehen. Dass derzeit noch keine gepatchten Bluez-Versionen bereitstehen, wird auch auf die frühzeitige Veröffentlichung der Lücke durch Intel zurückgeführt.

Kritik an Intel

Der Sicherheitsforscher Matthew Garrett, der ebenfalls für Google arbeitet, kritisiert Intel für die frühzeitige Veröffentlichung der Schwachstellen: Es gebe weder Patches im Linux Kernel 5.9, auch wenn das zum Teil behauptet würde, noch seien die Distributionen benachrichtigt worden. daher konnten diese bislang keine rückportierten Patches auf den jeweils von ihnen eingesetzten Kernel-Versionen ausliefern.

“Fast genau dasselbe passierte Anfang dieses Jahres”, schreibt Garrett auf Twitter. Damals habe Intel ebenfalls eine Sicherheitslücke in Bluez veröffentlicht, ohne den Distributionen Bescheid zu geben. Garrett habe dies dann nachträglich getan. Teil des Problems sei zudem, dass die aktuellen Patches in Bluez nicht im Mainline-Branch des Linux-Kernel gelandet seien, sondern im Next-Branch, erwiderte Nguyen.

Vor besondere Probleme dürfte die Lücke auch IoT-Geräte auf Linux-Basis stellen, die Bluetooth aktiv verwenden: Während Linux-Distributionen die Patches verteilen, sobald sie verfügbar sind, pflegen Hersteller von Internet-of-Things-Geräten diese oft nur sehr kurz, schlecht oder gar nicht — entsprechend werden bei diesen Geräten die Lücken oftmals sehr spät oder nie geschlossen.

Der Beitrag Bleedingtooth: Mehrere Bluetooth-Lücken in Linux erschien zuerst auf Linux-Magazin.

Sicherheitsprobleme in WordPress-Plugins

25. August 2020 um 15:03

Das beliebte freie Content Management System WordPress glänzt unter anderem durch viele dafür verfügbare Plugins. Davon sind der Advanced Access Manager, die Discount Rules for WooCommerce und der Quiz and Survey Master durch Sicherheitslücken beeinträchtigt.

Der Advanced Access Manager ist laut der Mitteilung von Wordfence zur Lücke rund 100.000 Mal installiert. Der Advanced Access Manager ist für die Einstellung der Zugriffsrechte gedacht und bietet dem Admin dafür diverse Optionen. Ist beim Plugin das Multiple-Roles-Feature aktiviert, wird das Plugin zum Sicherheitsrisiko, das die Experten von Wordfence mit hoch klassifizieren. Dann nämlich lassen sich durch präparierte Anfragen Rechte ausweiten und so möglicherweise auch die Webseite übernehmen. Der Advanced Access Manager in Version 6.6.2 schließt die Lücke.

Im Quiz and Survey Master lässt sich die Upload-Funktion laut Wordfence  missbrauchen, um unkontrolliert Schadcode hochzuladen. Die Versionen ab 7.0.1 beheben das Problem.

Im Plugin Discount Rules for WooCommerce lassen laut Sicherheitsanbieter Webarx Sicherheitslücken CrossSiteScripting von remote zu. Die Versionen vor 2.1.0 sind betroffen.

Der Beitrag Sicherheitsprobleme in WordPress-Plugins erschien zuerst auf Linux-Magazin.

Rocket.Chat braucht Sicherheitsupdate

19. August 2020 um 16:48

In der freien Chatplattform Rocket.Chat steckt eine Sicherheitslücke, die das Ausführen von Code ermöglicht. Eine neue Server-Version steht zur Verfügung.

Die Sicherheitslücke lässt sich aus der Rocket-Chat-App auf den webbasierten Rocket-Chat und den Desktop-Client ausnutzen. Die Apps von iOS und Android seien nicht betroffen, teilen die Entdecker der Lücke mit. Der Angreifer braucht dazu ein Login auf einem verwundbaren Server, das sind laut dem zugehörigen Blogbeitrag der Entdecker Serverversionen vor 3.4.2. Anschließend schickt er eine mit Code präparierte Nachricht an einen Channel oder als direkte Nachricht. Eröffnet der Nutzer daraufhin einen Thread über die “Reply in Thread”-Funktion des Chats, wird der Code ausgeführt. Die Lücke ist unter CVE-2020-15926 geführt. Auf der Webseite des Entdeckers sind Bespiele für die Ausnutzung genannt. User und Admins von Rocket.Chat sollten also ein Update des Servers auf Version 3.4.3 oder wahlweise 3.5.0 machen und den Client ebenfalls auf die aktuelle Version bringen.

Rocket.Chat erläutert den Installations- und Update-Prozess auf seinen Websites.

Der Beitrag Rocket.Chat braucht Sicherheitsupdate erschien zuerst auf Linux-Magazin.

Chrome-Update schließt Sicherheitslücken

14. August 2020 um 11:26

Google hat ein Update für seinen Webbrowser Chrome angekündigt, das 15 Sicherheitslücken schließt. Der überwiegende Teil davon trägt die Risikoeinstufung “high”.

Zu den Sicherheitsproblemen gibt Google in einem Beitrag zur Release der Chrome-Version 84.0.4147.125 nur wenig bekannt. Sie stecken in den verschiedenen Bereichen, etwa dem Task-Scheduler oder auch in den Extensions und der Media-Verarbeitung. In der Regel entsteht das Problem durch Speicherfehler nach der Use-after-free-Problematik. Google gibt an, die neue Version in den kommenden Tagen bereitzustellen. Bei Linux-Distributionen wie Ubuntu ist das Update bereits in den Repositories.

Von den Patches für die Sicherheitsprobleme profitieren auch die Anwender von Microsofts Browser Edge, der seit Neuestem ebenfalls auf Chromium basiert. Microsoft übernimmt die Patches für seine Browser-Versionen für Windows, iOS und Android.

Der Beitrag Chrome-Update schließt Sicherheitslücken erschien zuerst auf Linux-Magazin.

Smartphones mit Snapdragon-Chip verwundbar

10. August 2020 um 11:14

Der DSP-Prozessor in den weit verbreiteten Snapdragon-Chips von Qualcomm enthält nach den Erkenntnissen einer Sicherheitsfirma hunderte Sicherheitslücken.

Mehr als 400 Sicherheitslücken will die Sicherheitsfirma Checkpoint in dem Digitalen Signalprozessor (DSP) der Snapdragon-Chips von Qualcomm entdeckt haben. Der Chip ist beispielsweise für Multimedia- und Ladefunktionen wie Quick-Charge zuständig und steckt unter anderem in Smartphones der Hersteller Google, Samsung, LG, Xiaomi und Oneplus.

Hunderte Millionen von Geräten sollen betroffen sein, obwohl die Lücken bereits geschlossen wurden. Die Sicherheitslücken (CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 and CVE-2020-11209) können von einer Schad-App ausgenutzt werden, die Betroffene zuvor installieren müssen. Diese könne die volle Kontrolle über das Gerät erlangen und unbemerkt Daten exfiltrieren, teilte Checkpoint mit. Demnach sei ein Zugriff auf Fotos, Videos und Gesprächsaufzeichnungen möglich, aber auch auf das Mikrofon oder die GPS- und Standortdaten. Die Lücken könnten zudem dazu genutzt werden, Schadsoftware auf dem Smartphone zu verbergen oder das Gerät unbenutzbar zu machen.

Checkpoint entdeckte die Sicherheitslücken durch Fuzzing, bei dem Programme mit zufälligen Daten gefüttert werden. Nach der Entdeckung meldete das Unternehmen die Lücken an Qualcomm. Obwohl Qualcomm die Probleme gelöst habe, seien weiterhin Millionen Smartphones betroffen, da es bei der langen Lieferkette der Geräte Monate oder Jahre dauern könne, bis die Sicherheitsupdates auf den einzelnen Smartphones ankämen, erklärte Yaniv Balmas, Sicherheitsforscher bei Checkpoint.

Aus diesem Grund habe sich die Sicherheitsfirma dazu entschieden, keine Details zu den Sicherheitslücken zu veröffentlichen. Da Smartphones teils nach wenigen Jahren keine Sicherheitsupdates mehr erhalten, dürften einige Geräte für immer verwundbar bleiben.

Der Beitrag Smartphones mit Snapdragon-Chip verwundbar erschien zuerst auf Linux-Magazin.

❌