Acronis: Offenlegung und Manipulation sensibler Daten durch unnötige Privilegienzuweisung

Eine schwerwiegende Sicherheitslücke (CVE-2024-8767) ermöglicht die Offenlegung und Manipulation sensibler Daten durch unnötig vergebene Privilegien. Betroffen sind mehrere Acronis-Produkte:

  • Acronis Backup Plugin für cPanel & WHM (Linux) vor Build 619
  • Acronis Backup Extension für Plesk (Linux) vor Build 555
  • Acronis Backup Plugin für DirectAdmin (Linux) vor Build 147

Die Schwachstelle wird mit einem CVSS-Score von 9.9 als kritisch eingestuft. Sie erlaubt Angreifern mit niedrigen Privilegien, sensible Daten zu lesen und zu manipulieren, was erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der betroffenen Systeme haben kann.

Betroffene Administratoren sollten die Sicherheitsupdates umgehend einspielen, um das Risiko eines Datenlecks zu minimieren.

Related Posts

Strafverfolger hebeln Tor-Anonymisierung aus

Deutsche Strafverfolgungsbehörden haben offenbar begonnen, das Tor-Netzwerk zu unterwandern, um Nutzer zu deanonymisieren. Recherchen von Panorama und STRG_F (funk/NDR) zeigen, dass Ermittler Tor-Knotenpunkte überwachen und sogenannte „Timing-Analysen“ durchführen, um Verbindungen zu Nutzern zurückzuverfolgen. Diese Methode führte im Fall der Darknet-Plattform „Boystown“ zum Ermittlungserfolg gegen führende Administratoren. Es handelt sich um die weltweit ersten belegten Fälle, in denen diese Technik erfolgreich eingesetzt wurde.

Read More

Ivanti schließt Admin-Bypass-Sicherheitslücke bei Cloud Services Appliance

Ivanti hat ein Sicherheitsupdate für die Cloud Services Appliance (CSA) veröffentlicht, das eine Admin-Bypass-Schwachstelle (CVE-2024-8963) adressiert. Diese betrifft CSA Version 4.6 und alle älteren Versionen vor Patch 519. Die Lücke ermöglicht es Angreifern, in Kombination mit einer weiteren Schwachstelle (CVE-2024-8190) die Kontrolle über ein betroffenes System zu übernehmen.

Read More

Neue Regelungen zur Gesichtserkennung durch Polizei geplant

Am 11. September 2024 wurde ein Gesetzesentwurf veröffentlicht, der der Polizei erlaubt, Verdächtige mithilfe von Gesichtserkennung zu identifizieren. Ermittler sollen biometrische Fotos von Verdächtigen mit öffentlich zugänglichen Internetbildern abgleichen dürfen. Dies betrifft jedoch nur statische Bild- und Videodateien, nicht Echtzeitübertragungen wie Livestreams. Der Abgleich darf nur für schwerwiegende Straftaten erfolgen, und die erhobenen Daten müssen gelöscht werden, wenn sie keinen Ermittlungsansatz bieten.

Read More