Kategorie: Sicherheit

Wichtige Security-Updates für mehrere Produkte | heise Security

Cisco hat Sicherheitsupdates für mehrere seiner Geräte und Softwareprodukte bereitgestellt. Von einigen der hierdurch geschlossenen Lücken geht ein hohes Sicherheitsrisiko aus: Das US-CERT weist darauf hin, dass sie unter bestimmten Voraussetzungen eine Übernahme der betroffenen Geräte ermöglichen könnten. Eine Lücke stuft Cisco gar als kritisch ein. Admins sollten die notwendigen Aktualisierungen zeitnah durchführen. Eine vollständige Liste der betroffenen Produkte ist dem Sicherheitscenter des Herstellers zu entnehmen.

Denial of Service

Die kritischste Lücke (CVE-2019-1651) steckt in Ciscos SD-WAN-Lösung. Sie ermöglicht einem authentifizierten entfernten Angreifer das Herbeiführen eines Denial-of-Service, um anschließend beliebigen Code mit root-Rechten auszuführen. Betroffen ist die Cisco vSmart Controller Software in Kombination mit der SD-WAN Solution vor Version 18.4.0.

Im Security Advisory zur Lücke nennt Cisco weitere Details und weist zudem darauf hin, dass sich betroffene Kunden mit dem Support in Verbindung setzen sollen, um Hilfestellung zu erhalten — eine vorgefertigtes Update fürs Deployment auf eigene Faust steht in diesem konkreten Fall nämlich nicht bereit.

Lücken mit der Risiko-Einstufung “High” klaffen unter anderem in den Texas-Instruments-Chips CC2640 and CC2650, die in mehreren Access Points von Cisco zum Einsatz kommen, in mehreren WebEx-Komponenten, in der Identity Services Engine (ISE) sowie in den Routern RV320 and RV325.

Achtung: Updates für zwei weitere kritische Lücken

Die Liste in Ciscos Sicherheitscenter enthält noch zwei weitere Einträge mit Updates vom 11. beziehungsweise 16. Januar, die erst nach dem letzten Update-Hinweis bei heise Security bereitgestellt wurden. Sie betreffen die Commons FileUpload Library von Apache Struts sowie die Software Small Business Switches. Auch diese Lücken gelten als kritisch, so dass Anwender wiederum zeitnah handeln sollten.

(ovw)

Source

Categories: Sicherheit

Tags:

Böser Bug in PostScript trifft GhostScript und damit viele andere Programme | heise Security

Eine kritische Sicherheitslücke in GhostScript zieht große Kreise. Das Open-Source-Programm ist der Standard für das Interpretieren von PostScript. Somit lässt sich der Fehler über viele Programme wie Evince, ImageMagick, Nautilus, Gimp und sogar das das Kommandozeilen-Tool less triggern. Öffnet der Anwender eine speziell präparierte PostScript-Datei mit einem dieser Programme, könnte der Angreifer Schadcode auf seinem System ausführen. Updates sollen diese Lücke schließen.

Das Beseitigen der Sicherheitsprobleme gestaltete sich sehr aufwändig, weil das grundlegende Problem eigentlich in der Spezifikation der Sprache PostScript steckte, erklärt der Entdecker der Lücke, Tavis Ormandy. Das Sicherheitsproblem mit dem Bezeichner CVE-2019-6116 betrifft GhostScript bis Version 9.26. Die GhostScript-Entwickler haben einen Satz von Patches entwickelt, der es entschärfen soll. Die Linux-Distributoren wie Suse, RedHat und Ubuntu liefern derzeit aktualisierte GhostScript-Versionen aus.

Das wird wohl nicht das letzte Problem dieser Art sein. Ormandy jedenfalls fordert, dass man eigentlich das Ausführen von “untrusted PostScript” einstellen sollte. Das Konzept, den PostScript-Interpreter via -dSAFER in eine Sandbox einzusperren, die Zugriff auf das Dateisystem und das Ausführen von Code verhindert, funktioniert offenbar nicht zuverlässig genug.

(ju)

Source

Categories: Sicherheit

Tags:

Updates beheben Schwachstellen in CMS und Extensions | heise Security

Die Entwickler des Content-Management-Systems TYPO3 haben mit den Sicherheitsupdates 8.7.24 LTS für die 8er- und 9.5.4 LTS für die 9er-Versionsreihe insgesamt sieben Schwachstellen behoben. Da ihr Schweregrad – teils in Abhängigkeit von der Konfiguration des Webservers – sämtliche Einstufungen von “Low” bis “Critical” abdeckt, sollten Anwender zügig auf die aktuellen Versionen umsteigen.

Das DFN-CERT nennt als mögliche Gefahren neben Cross-Site-Scripting das Ausführen beliebigen Programmcodes sowie das Umgehen von Sicherheitsvorkehrungen. Je nach Lücke sind die Angriffe auch ohne Authentifizierung möglich. Wer sich für weitere Details interessiert, findet sie in TYPO3’s Security-Bulletins.

Die abgesicherten TYPO3 LTS-Versionen 8.7.24 und 9.5.4 stehen zum Download bereit.

Zusätzliche Sicherheitshinweise

Die separat veröffentlichten Security Advisories TYPO3-PSA-2019-001 und TYPO3-PSA-2019-002 sind in erster Linie für Entwickler relevant. Sie fassen Risiken zusammen, die unter bestimmten Umständen von der CommandUtility-API und von Drittanbieter-Extensions ausgehen können.

Nutzer von TYPO3-ELTS-Versionen vor 6.2.39 sollten laut TYPO3-PSA-2019-003 auf 6.2.39 umsteigen: Die Flash-Komponente websvg bietet Angriffspunkte fürs Cross-Site-Scripting, deren Gefährlichkeit als “Medium” eingestuft wird.

Schwachstellen in mehreren Extensions

Neben dem bereits genannten websvg sind auch die folgenden Extensions sicherheitsanfällig:

  • phpMyAdmin (TYPO3-EXT-SA-2019-001)
  • typo3_forum (TYPO3-EXT-SA-2019-002)
  • femanager (TYPO3-EXT-SA-2019-003)
  • mkmailer (TYPO3-EXT-SA-2019-004)

Aktualisierte Versionen der Extensions schließen die mit “Medium” bis “High” bewerteten Schwachstellen; Informationen sind den jeweils verlinkten Sicherheitshinweisen zu entnehmen.

(ovw)

Source

Categories: Sicherheit

Webserver über Schwachstelle im MySQL-Protokoll gehackt | heise Security

Ein MySQL-Server kann einen MySQL-Client dazu verleiten, äußerst sensible Informationen über sich preiszugeben. Ein bösartiger Server kann eine Schwachstelle des MySQL-Protokolls ausnutzen, um beliebige Dateien auf dem System auszulesen, auf die der MySQL-Client Zugriff hat. Um einen Webserver auf diese Weise anzugreifen, muss der Angreifer einen gepatchten MySQL-Server betreiben und einen MySQL-Client auf dem Server des Opfers dazu kriegen, sich mit dem manipulierten Server zu verbinden. Diese Schwachstelle im Datenbank-Protokoll ist seit Jahren dokumentiert, jetzt hat ein Sicherheitsforscher allerdings tatsächliche Angriffe auf Webserver festgestellt – und diese scheinen sich zu häufen.

Angriffe auf Magento-Online-Shops

Entdeckt hatte die Angriffe Willem de Groot, ein unabhängiger Sicherheitsforscher, der sich auf sogenannte Magecart-Angriffe auf die E-Commerce-Plattform Magento spezialisiert hat. De Groot hatte im Zuge der Landtagswahl in Bayern im Oktober die CSU auf Malware in ihrem Magento-Shop hingewiesen. Er hatte beobachtet, dass Kriminelle eine Schwachstelle im Admin-Werkzeug Adminer dazu missbrauchen, einen verbundenen MySQL-Client dazu zu bewegen, ihren bösartigen Server zu kontaktieren. Der befiehlt dem MySQL-Client dann, eine Konfigurationsdatei auszulesen, in der das Datenbank-Passwort für den Magento-Server gespeichert ist. Damit können die Angreifer dann die Magento-Software übernehmen und ihren Magecart-Schadcode einspielen.

Die Konfigurationsdatei mit dem Passwort ist normalerweise für Angreifer aus dem Netz natürlich nicht lesbar. Die Angreifer missbrauchen also eine Lücke in Adminer, um Zugang zu einem MySQL-Client auf dem Webserver des Opfers zu bekommen. Dieser Client wird normalerweise für Admin-Aufgaben auf dem Webserver genutzt, kann aber wegen der Schwachstelle im MySQL-Protokoll dazu missbraucht werden, die sensible Config-Datei auszulesen. Denkbar wären solche Angriffe auch auf geheime Krypto-Schlüssel oder Zugangs-Informationen zu Wallet-Software von Kryptowährungen. Oder man kann sich Zugang zu anderer Software und deren Datenbanken verschaffen, die auf dem Ziel-Server läuft.

Software für Angriffe frei verfügbar

In der MySQL-Dokumentation wird das Sicherheitsrisiko zwar beschrieben, dort heißt es allerdings lapidar, Clients sollten sich nicht mit Servern verbinden, die nicht vertrauenswürdig sind. An Schwachstellen wie den Bug in Adminer haben die MySQL-Entwickler wohl nicht gedacht, als sie diesen Text verfassten. Bisher nahmen wohl die meisten Entwickler und Admins ebenfalls an, dass die Lücken rein theoretischer Natur sind. Wie de Groot zu bedenken gibt, gibt es allerdings in der Praxis bereits seit fünf Jahren einen frei verfügbaren, gepatchten MySQL-Server, der genau für solche Angriffe ausgelegt zu sein scheint. Und diverse Admins berichten im Netz auch schon von gehäuft auftretenden Angriffen auf ihre Systeme, die versuchen, die von de Groot beschriebene Schwachstellen-Kombination auszunutzen.

Einige Software-Systeme, die MySQL-Client-Funktionen implementieren, schützen sich bereits vor der Schwachstelle durch bösartige Server – etwa die Programmiersprachen Go und Python. Sicherlich besteht aber nach wie vor ein Risiko durch verwundbare Software wie Adminer, dessen sich Server-Betreiber bewusst sein sollten. Die Adminer-Entwickler haben die Lücke wohl ebenfalls mit Version 4.6.3 aus dem vergangenen Jahr geschlossen, ältere (verwundbare) Versionen der Software lassen sich aber nach wie vor tausendfach im Netz aufspüren.
(Fabian A. Scherschel) /

(fab)

Source

Categories: Sicherheit

Adobe Experience Manager könnte Daten leaken | heise Security

Die Content-Management-Lösungen für Websites Experience Manager und Experience Manager Forms von Adobe sind verwundbar. Angreifer könnten drei Sicherheitslücken (CVE-2018-19724, CVE-2018-19726 und CVE-2018-19727) ausnutzen, um mittels XSS-Attacken Zugriff auf eigentlich abgeschottete Informationen zu bekommen.

Der Schwergrad ist mit “moderat” und “wichtig” eingestuft. Weitere Details zu den Schwachstellen und möglichen Angriffsszenarien beschreibt Adobe in den Sicherheitswarnungen zu Experience Manager und Experience Manager Forms derzeit nicht. Dort findet man aber Hinweise zu abgesicherten Versionen. Alle Plattformen sollen betroffen sein.

Adobe patcht die Anwendungen außer der Reihe. Eigentlich veröffentlicht der Softwarehersteller Sicherheitsupdates ein Mal pro Monat am Patchday. Notfallpatches gibt es eigentlich immer nur für als kritisch eingestufte Lücken oder wenn Angreifer Adobe-Software aktiv attackieren. Beides ist laut den Warnmeldungen dieses Mal aber nicht der Fall.

(des)

Source

Categories: Sicherheit

Tags:

Kritische Sicherheitslücke in Debians Update-Tools | heise Security

Es ist der Worst Case für ein Update-Konzept und er trifft Debian, Ubuntu & Co mit voller Wucht: Ein Lauscher an der Leitung könnte Code einschleusen, der dann als Root auf dem System des Opfers ausgeführt wird. Ein aktuelles Sicherheits-Update schließt die Lücke und sollte bald möglichst eingespielt werden.

Böser Redirect

Der Angriff ist möglich, weil die Tools apt und apt-get die Updates ungesichert über herkömmliches HTTP aus dem Netz laden. So kann ein Angreifer im Netz die Kommunikation manipulieren und dabei über einen speziellen HTTP-Redirect nicht nur seinen Schadcode einschleusen, sondern auch die anschließende Prüfung digitaler Signaturen austricksen, die solche Manipulationen verhindern sollte. Der Entdecker des Bugs Max Justicz erklärt die Details des Angriffs in seinem Blog-Beitrag Remote Code Execution in apt/apt-get. Bei einem TLS-gesicherten Download via HTTPS wäre dies so nicht möglich.

Das Debian-Security-Team hat den Fehler nach der Benachrichtigung umgehend behoben (CVE-2019-3462). Auch auf einem Ubuntu-System in der heise-Security-Redaktion waren die Updates beim Schreiben der Meldung bereits verfügbar. Anwender und Admins sollten die aktualisierten Pakete für apt* möglichst schnell einspielen.

TLS oder nicht?

Die Veröffentlichung dieser Lücke platzt mitten in einen heftigen Streit über die Notwendigkeit von TLS/HTTPS für Sicherheits-Updates. Er entzündete sich an einem (erneuten) Bug-Report bei VLC, der die HTTP-Downloads monierte. Die Entwickler schlossen den Bug-Report als unbegründet. Als Argument wird dabei angeführt, dass die Pakete alle digital signiert seien und diese Signaturen vor der Installation auch geprüft würden. Der Hauptgrund für den Verzicht auf TLS ist die Tatsache, dass es das Caching der Downloads verhindert. Ähnliche Diskussionen gibt es auch immer wieder über die Debian-Update-Funktionen, die ähnlich funktionieren.

(ju)

Source

Categories: Sicherheit

D-Link-Router DIR-816 verträgt keine langen Passwörter | heise Security

D-Links WLAN-Router DIR-816 ist offenbar verwundbar und Angreifer könnten mit vergleichsweise wenig Aufwand Schadcode auf dem Gerät ausführen.

Die Sicherheitslücke (CVE-2018-20305) gilt als kritisch. Das Notfallteam des BSI CERT Bund vergibt mit “sehr hoch” die maximale Risikobewertung. Eine abgesicherte Firmware ist noch nicht verfügbar. Eine Antwort auf die Frage von heise Security wann ein Update erscheint steht noch aus.

Remote Code Execution

Angriffe sollen direkt über das Internet und ohne Authentifizierung gelingen, beschreibt ein Sicherheitsforscher in einem Beitrag auf Github. Dort hat er auch Proof-of-Concept-Code (PoC) veröffentlicht. Ihm zufolge könnte ein Angreifer mit einem zu langen Passwort einen Speicherfehler (stack-based buffer overflow) auslösen. So etwas endet generell in der Ausführung von Schadcode – so soll es auch in diesem Fall sein.

Ob für eine erfolgreiche Attacke ein Fernzugriff aktiviert sein muss und wie ein Übergriff im Detail abläuft, ist momentan nicht bekannt. Bis ein Update verfügbar ist, hält der Sicherheitsforscher diese Infos zurück.

Der Sicherheitsforscher gibt an, dass sein PoC-Code mit dem Modell DIR-816 mit der Firmware A2 1.10 B05 funktioniert. Ob noch weitere Versionen oder andere Modelle bedroht sind, ist derzeit nicht bekannt.

(UPDATE, 22.12.2018 20:05)

Wie D-Link gegenüber heise Security mitteilte, ist von der Sicherheitslücke ausschließlich der Router DIR-816L HW ax betroffen. Das Modell gibt es nur auf dem asiatischen Markt. Das in Europa erhältliche Modell DIR-816L B1/C1 ist davon nicht betroffen.

(des)

Source

Categories: Sicherheit

Fehler in Software-Suite gefährdet NAS-Geräte von Synology | heise Security

Wer ein NAS von Synology besitzt, sollte die Systemsoftware aktualisieren. Ansonsten könnten Angreifer eine als kritisch eingestufte Sicherheitslücke (CVE-2018-1160) ausnutzen und Schadcode auf Geräten ausführen. Eine Attacke soll über das Internet ohne Anmeldung möglich sein.

Die Lücke findet sich in verschiedenen Versionen von DiskStation Manager (DSM), SkyNAS, Synology Router Manager (SRM) und VS960HD. Ab den folgenden Ausgaben haben die Entwickler die Lücke geschlossen: DSM 6.2.1-23824-3, SRM 1.2-7742-5 und VS960HD 2.3.3-1646. Sicherheitsupdates für DSM 5.2 und 6.1 sowie SkyNAS sind bislang nicht verfügbar.

Aufgrund eines Fehlers in der Software-Suite Netatalk könnten Angreifer einen Speicherfehler (out of bounds) auslösen und so eigenen Code ausführen. Ab der Version 3.1.12 ist die Protokollsammlung abgesichert, führt Synology in einer Sicherheitswarnung aus.

Noch eine Schwachstelle

Einer weiteren Warnung zufolge haben die Synology-Entwickler in DSM 5.2-5967-9, 6.1.7-15284-3 und 6.2.1-23824-4 noch eine weitere als kritisch eingestufte Sicherheitslücke (CVE-2018-1160) geschlossen. Ein erfolgreiches Ausnutzen soll ebenfalls Schadcode auf Systeme bringen. Weitere Infos stehen noch aus.

[UPDATE, 0301.2019 11:20 Uhr]

Wie ein Synology-Sprecher gegenüber heise Security mitteilte, sind mittlerweile die abgesicherten DSM-Versionen 5.2-5967-9 und 6.1.7-15284-3 erschienen. CVE-Nummer im Fließtext nachgetragen.

(des)

Source

Categories: Sicherheit

Zwei kritische Lücken in Adobe Acrobat und Reader | heise Security

Es gibt wichtige Sicherheitsupdates für Adobe Acrobat und Reader. Die PDF-Anwendungen sind über zwei als kritisch eingestufte Schwachstellen unter macOS und Windows attackierbar. Abgesicherte Versionen stehen zur Installation bereit.

In den Standardeinstellungen sollten sich die Anwendungen automatisch aktualisieren. Passiert das nicht, kann man den Vorgang unter dem Menüpunkt “Hilfe” anstoßen. Für eine effizientere Verteilung können Admins Enterprise Installer von Acrobat und Reader herunterladen und die Updates über verschiedene Methoden – beispielsweise SCUP/SCCM oder SSH – installieren.

Die Entwickler haben die Lücken in Acrobat DC/Reader DC (Continuous Track) 2019.010.20069, Acrobat 2017/Reader DC 2017 2017.011.30113 und Acrobat DC/Reader DC (Classic 2015) 2015.006.30464 geschlossen. Alle vorigen Versionen sind einer Warnmeldung von Adobe zufolge von den Sicherheitslücken betroffen.

Remote Code Execution

Eine Schwachstelle (CVE-2018-16011) sollen Angreifer ohne Authentifizierung aus der Ferne ausnutzen können, um auf Computern Schadcode mit den Nutzerrechten eines Opfers auszuführen. Die zweite Lücke (CVE-2018-16018) könnten Angreifer zum Umgehen von Sicherheitsmechanismen ausnutzen. Weitere Details dazu sind derzeit nicht bekannt. Die Entdeckung von beiden Schwachstellen geht auf Sicherheitsforscher von Trend Micros Zero Day Initiative zurück.

(des)

Source

Categories: Sicherheit

Tags:

Fast nur “wichtige” Sicherheitsupdates für Windows & Co. | heise Security

Am ersten Patchday des Jahres räumt Microsoft 49 Sicherheitsprobleme in beispielsweise Edge, Exchange und verschiedenen Windows-Versionen aus dem Weg. Davon gelten sieben Lücken als kritisch, 40 Patches sind als wichtig markiert.

Als besonders gefährlich gelten zwei Lücken (CVE-2019-0550, CVE-2019-0551) in Hyper-V. Ist ein Angreifer in einer virtuellen Maschine im Gast-System angemeldet, soll er durch das Ausführen einer speziellen Anwendung Schadcode in das Host-System schieben und ausführen können.

Wie eigentlich jeden Monat hat der Browser Edge Probleme mit der Speicherverwaltung (CVE-2019-0565) und der alleinige Besuch einer von einem Angreifer präparierten Website soll als Sprungbrett für Schadcode dienen.

Eine weitere kritische Sicherheitslücke ist im DHCP-Client von Windows 10 und Server (Version 1803). Um die Lücke (CVE-2019-0547) auszunutzen, muss ein Angreifer lediglich speziell vorbereitete DHCP-Anfragen an verwundbare Windows-Computer schicken. Anschließend soll das Ausführen von Schadcode möglich sein.

Wichtige Sicherheitsupdates

Den Patch für eine Remote-Code-Execution-Lücke (CVE-2019-0586) in Exchange stuft Microsoft nur als wichtig ein, obwohl bereits der Empfang einer präparierten E-Mail einen Angriff einleiten können soll, um Schadcode auf Computer zu schieben.

Eine Schwachstelle (CVE-2019-0579) in Jet Database Engine ist Microsoft zufolge schon länger öffentlich bekannt, Angriffe soll es derzeit aber noch nicht geben.

Das Flash-Update zur Steigerung der Performance holen sich Internet Explorer 11 und Edge unter Windows 8.1 und 10 automatisch. So passiert es auch bei Chrome.

In seinem Security Update Guide listet Microsoft weitere Infos zu den Sicherheitslücken und Patches auf. Das ist aber nicht wirklich übersichtlich. Beispielsweise im Blog von Cisco Talos bekommt man einen besseren Überblick. (des)

[UPDATE, 09.01.2019 10:50 Uhr]

Hinweis auf Flash-Update in Fließtext eingebaut.

[UPDATE, 10.01.2019 11:00 Uhr]

Windows 7: Updates KB4480970 und KB4480960 verursachen Netzwerkprobleme

(des)

Source

Categories: Sicherheit

Tags:

Flash-Updates, die mit Sicherheit nichts zu tun haben | heise Security

Connect und Digital Editions von Adobe sind verwundbar – die Sicherheitslücken gelten aber nicht als kritisch. Die als “wichtig” eingestuften Updates sind ab sofort verfügbar.

Connect ist einer Sicherheitswarnung von Adobe zufolge für alle Plattformen angreifbar. Die Ausgabe 10.1 ist abgesichert. Bedroht sollen alle Versionen bis einschließlich 9.8.1 sein. Nutzt ein Angreifer die Schwachstelle (CVE-2018-19718) aus, könnte er Details von Sessions auslesen (Session Token Exposure).

Digital Editions ist in der Version 4.5.10 für Android, iOS, macOS und Windows abgesichert. Alle vorigen Ausgaben sollen von der Lücke (CVE-2018-12817) betroffen sein. Ein erfolgreiches Ausnutzen der Schwachstelle soll zu einem Datenleck führen, warnt Adobe.

Was ist mit Flash?

Der Flash Player bekommt auch an diesem Patchday ein Update, dieses schließt aber ungewöhnlicherweise keine Sicherheitslücke, sondern es soll die Performance steigern.

Die aktuelle Version 32.0.0.114 steht für Chrome OS, Linux, macOS und Windows zum Download bereit. Unter Windows 8.1 und 10 holen sich Internet Explorer 11 und Edge das Update automatisch. Auch Chrome macht das so.

(des)

Source

Categories: Sicherheit

Tags:

Google schließt teils kritische Lücken | heise Security

Googles Android Security Bulletin für Januar umfasst insgesamt 27 Fixes für Sicherheitslücken im Smartphone-Betriebssystem. Das von den Lücken ausgehende Sicherheitsrisiko bewertet das Unternehmen im Bulletin durchweg als hoch, in zwei Fällen gar als kritisch.

Die gefährlichste Lücke mit der CVE-Nummer CVE-2018-9583 steckt im Betriebssystem selbst. Sie könnte laut Google von einem entfernten Angreifer missbraucht werden, um mittels einer eigens dafür erzeugten Datei beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Die zweite kritische Lücke (CVE-2018-11847) befindet sich in einer Closed-Source-Komponente von Qualcomm, kann nach Herstellerangaben allerdings lediglich lokal ausgenutzt werden.

Auf dem neuesten Stand sind Geräte jetzt mit dem Patch-Level 2019-01-05.

Neben Google veröffentlichen von den großen Herstellern lediglich BlackBerry, LG und Samsung monatlich Sicherheitspatches – allerdings nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht. Letzteres ist leider die Regel.

Extra-Update für Pixel-Geräte

Im November 2018 hat Google zum letzten Mal Sicherheitsupdates für Nexus 5X und 6P verteilt. Danach hat der Hersteller Sicherheitsupdates und Support für Nexus-Geräte eingestellt – für Pixel und Pixel XL läuft beides aber noch bis Oktober 2019 weiter.

Diesen Monat hat der Hersteller laut separat veröffentlichtem Pixel Update Bulletin zwei Schwachstellen moderaten Sicherheitsrisikos im Kernel gefixt. Ein weiterer Patch verbessert die Soundqualität für Videoaufnahmen mit dem Pixel 3 und Pixel 3 XL. Das Update wird wie gewohnt automatisch an die Pixel-Geräte verteilt.

[Update 09.01.19, 14:54]: Ein Leser hat uns darauf hingewiesen, dass Nexus 5X und 6P trotz Ablauf des garantierten Support- und Updatezeitraums im Dezember noch ein letztes Update erhielten (siehe OTA-Images “Bullhead” für 5X und “Angler” für 6P (Oreo 8.10, Build OPM7.181205.001)). Danke für den Hinweis!

(ovw)

Source

Categories: Sicherheit

Tags:

Drei Uralt-Lücken in Systemd vereinfachen Linux-Angriffe | heise Security

Drei Sicherheitslücken in der Log-Funktion des Init-Nachfolgers Systemd können es Angreifern auf Linux-Systemen ermöglichen, sich Admin-Rechte zu erschleichen. Die Lücken finden sich in allen Linux-Distributionen, die Systemd zum Starten ihrer Prozesse verwenden – allerdings ist die Schwachstelle nicht auf allen Distributionen ausnutzbar. Die SUSE-Produkte SLES 15 und openSUSE Leap 15 und Fedora 28 und 29 sind aufgrund von Sicherheitsvorkehrungen, welche die Entwickler beim Kompilieren ihrer Software-Komponenten getroffen haben, gegen den Angriff gefeit. Die meisten anderen Linux-Distributionen, die Systemd verwenden, arbeiten an Sicherheitsupdates oder haben diese bereits verteilt. Unter anderem bereiten Red Hat und Debian Updates für ihre Systemd-Pakete vor.

Bei den Lücken handelt es sich um zwei allgemeine Speicherverwaltungsfehler (CVE-2018-16864, CVE-2018-16865) und einen Pufferüberlauf (CVE-2018-16866) in der Funktion systemd-journald. Die drei Lücken existieren schon seit Jahren im Code des Init-Systems, die älteste stammt aus Systemd v38 von Ende 2011. Zum Teil wurden die Schwachstellen aber nur durch andere Änderungen im Quellcode erst zu einem späteren Zeitpunkt angreifbar. Interessanterweise wurde der Pufferüberlauf im August 2018 zufällig als Nebeneffekt anderer Änderungen wieder aus dem Code genommen – diese Schwachstelle betrifft also nur Systemd-Versionen bis v235.

Entdeckt wurden die Lücken durch die Sicherheitsfirma Qualys. Bei den Nachforschungen zu einer anderen Schwachstelle hatten Qualys-Forscher durch Zufall entdeckt, dass der journald-Prozess abstürzt, wenn er mit mehreren Megabyte Kommandozeilen-Argumenten gefüttert wird. Solche Abstürze deuten oft auf Speicherfehler hin und sind der erste Schritt zum Finden von Exploits, über die sich Schadcode ausführen oder – wie in diesem Fall – erweiterte Nutzerrechte erlangen lassen. Über die Systemd-Lücke alleine kann ein Angreifer zwar kein Linux-System übernehmen oder dort eindringen, aber er kann sich zum Admin machen, falls er bereits auf anderem Wege eingebrochen ist. Solche Rechteausweitungslücken sind begehrte Werkzeuge im Handwerkskasten von Hackern.
(Fabian A. Scherschel) /

(fab)

Source

Categories: Sicherheit

Tags:

Kritische Lücken in SAP-Software geschlossen | heise Security

Admins, die betriebswirtschaftliche Software von SAP verwalten, sollten die aktuelle Sicherheitswarnung des Entwicklers studieren. Einige Produkte sind über als kritisch eingestufte Lücken angreifbar. Insgesamt hat SAP an diesem Patchday elf Sicherheitsnotizen veröffentlicht.

Als kritisch gelten die Schwachstellen in Cloud Connector (CVE-2019-0246) und Landscape Management (CVE-2019-0249). Setzen Angreifer dort an, könnten sie unter Umständen Schadcode ausführen oder auf eigentlich abgeschottete Informationen zugreifen.

Die Lücke (CVE-2019-0243) in BW/4HANA ist mit dem Bedrohungsgrad “hoch” eingestuft. Ein erfolgreiches Ausnutzen könnte einem Angreifer höhere Rechte verschaffen. Die verbleibenden Schwachstellen hat SAP mit der Priorität “mittel” gekennzeichnet. Darunter finden sich beispielsweise eine DoS-Lücke und mehrere XSS-Schwachstellen in etwa Work and Inventory Manager und Commerce.

SAP-Kunden finden im Support-Portal des Softwareherstellers weitere Infos zu den Sicherheitsproblemen.

(des)

Source

Categories: Sicherheit

Tags:

Angreifer könnten Ciscos Email Security Appliance ausknipsen | heise Security

Verschiedene Geräte und Software von Cisco ist verwundbar. Nun hat das Unternehmen die ersten Sicherheitspatches in diesem Jahr veröffentlicht. Admins sollten sicherstellen, dass sie die Updates zügig installieren, um Schlupflöcher für Angreifer zu schließen. In seinem Sicherheitscenter listet der Netzwerkausrüster betroffene Produkte auf.

Die als am gefährlichsten eingestuften Lücken (CVE-2018-15453, CVE-2018-15460) finden sich in Email Security Appliance. Cisco hat das von den Schwachstellen ausgehende Risiko mit “kritisch” und “hoch” eingestuft. Aufgrund einer fehlerhaften Prüfung von mit S/MIME signierten E-Mails kann die ganze Appliance abstürzen. Auch das Ausnutzen der zweiten Lücke kann einen DoS-Zustand herbeiführen. Dafür ist eine kaputte Filterfunktion im AsyncOS der Appliance verantwortlich.

Für die weitere Schwachstellen in IOS, Jabber Client Framework & Co. hat der Netzwerkausrüster die Risikobewertung “mittel” ausgeschrieben. Der Großteil der Lücken kann zu XSS-Attacken führen.

Sicherheitslücken nach Bedrohungsgrad absteigend sortiert.

  • Email Security Appliance Memory Corruption Denial of Service
  • Email Security Appliance URL Filtering Denial of Service
  • Policy Suite for Mobile and Cisco Policy Suite Diameter Routing Agent Software Redis Server Unauthenticated Access
  • IOS and IOS XE Software TCP Denial of Service
  • IP Phone 8800 Series Arbitrary Script Injection
  • Webex Business Suite Cross-Site Scripting
  • Identity Services Engine Multiple Cross-Site Scripting
  • Cisco Prime Infrastructure Cross-Site Scripting Vulnerability
  • TelePresence Management Suite Cross-Site Scripting
  • ASR 900 Series Aggregation Services Router Software Denial of Service
  • Prime Network Control System Stored Cross-Site Scripting
  • Firepower Management Center Disk Utilization Denial of Service
  • IOS and IOS XE Software Secure Shell Connection on VRF
  • Policy Suite Graphite Unauthenticated Read-Only Access
  • Jabber Client Framework Insecure Directory Permissions
  • Jabber Client Framework Instant Message Cross-Site Scripting
  • Identity Services Engine Password Recovery
  • Unified Communications Manager Digest Credentials Disclosure

(des)

Source

Categories: Sicherheit