Wissen

Zabbix Sicherheitslücke CVE-2024-22120: Timing-basierte SQL-Injection

Die Entwickler von Zabbix haben eine kritische Sicherheitslücke (CVE-2024-22120) in der Zabbix Server Audit Log-Funktion geschlossen. Diese Schwachstelle ermöglicht eine Timing-basierte SQL-Injection, die zur Eskalation von Benutzerrechten und potenziell sogar zur Remote Code Execution (RCE) führen kann. Die Lücke wurde in der Version 6.0.28rc1, 6.4.13rc1 und 7.0.0beta2 behoben.

Read More

Sicherheitslücken in Git erlauben Remote Code Execution

Die Git-Community hat heute mehrere neue Versionen veröffentlicht, um fünf kritische Sicherheitslücken zu beheben. Ein Upgrade auf die neueste Git-Version ist unerlässlich, um sich vor diesen Schwachstellen zu schützen.

Read More

Proton Mail Datenpanne leakt Registrierungsdatum durch PGP-Schlüssel

Proton Mail, bekannt für seine datenschutzorientierten Dienste, generiert bei der Kontoerstellung automatisch einen PGP-Schlüssel und veröffentlicht diesen über den Web Key Directory (WKD)-Standard. Dieser Schlüssel enthält einen präzisen Zeitstempel, der das genaue Erstellungsdatum des Accounts offenbart.

Read More

Intel Neural Compressor Software - Privilege Escalation und Informationsleaks möglich

Intel hat mehrere potenzielle Sicherheitslücken in seiner Neural Compressor Software entdeckt, die eine Privilegieneskalation und eine Offenlegung von Informationen ermöglichen könnten. Diese Schwachstellen wurden als kritisch eingestuft, und es stehen nun Software-Updates zur Verfügung, um diese Risiken zu mindern.

Read More

Kritische Sicherheitslücke CVE-2024-22026 in Ivanti EPMM entdeckt

Ivantis Enterprise Mobility Management Platform (EPMM), ehemals bekannt als “MobileIron Core”, weist eine schwerwiegende Sicherheitslücke (CVE-2024-22026) auf, die lokale Privilegieneskalation über den Befehl [install rpm url] in der eingeschränkten Shell (clish) ermöglicht. Diese Schwachstelle betrifft Versionen vor 12.1.0.0, 12.0.0.0 und 11.12.0.1 und wurde mit den neuesten Updates von Ivanti behoben.

Read More

BSI verklagt Microsoft wegen Sicherheitsvorfällen auf Herausgabe von Informationen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein offizielles Verfahren gegen Microsoft eingeleitet, um Informationen zu dessen Sicherheitsvorkehrungen zu erhalten. Trotz wiederholter Anfragen und Drohungen einer Klage hat Microsoft bisher nicht die geforderten Details geliefert. Daher griff das BSI nun zu Paragraf 7a des BSI-Gesetzes, um die Herausgabe von Informationen gerichtlich einzufordern.

Read More

Amazon Redshift JDBC-Treiber: SQL Injection durch Kommentare

Eine kritische Sicherheitslücke wurde in bestimmten Versionen des Amazon Redshift JDBC-Treibers entdeckt, die zu einer SQL Injection führen kann. Diese Schwachstelle CVE-2024-32888 betrifft die Nutzung der nicht-standardmäßigen Verbindungseigenschaft preferQueryMode=simple in Kombination mit anfälligem SQL-Code, der einen Parameterwert negiert. Der Fehler gleicht der Schwachstelle CVE-2024-1597 im Posgresql-JDBC Treiber.

Read More

Privilege Escalation in D-Link Router DIR-X4860 möglich

Eine Sicherheitslücke CVE-2024-34070 im D-Link Router DIR-X4860 ermöglicht es Angreifern, die über den HNAP-Port (HTTP Network Access Protocol) zugreifen können, erhöhte Privilegien zu erlangen und Befehle als root auszuführen. Durch die Kombination einer Authentifizierungsumgehung mit der Befehlsausführung kann das Gerät vollständig kompromittiert werden.

Read More

Froxlor: Blind XSS Schwachstelle führt zur vollständigen Kompromittierung

In der beliebten Webhosting-Management-Software Froxlor wurde eine schwerwiegende Sicherheitslücke entdeckt. Blind Cross-Site Scripting (Blind XSS) Schwachstelle ermöglicht es Angreifern, die Kontrolle über die Anwendung zu übernehmen. Diese Sicherheitslücke wurde unter der CVE-Nummer CVE-2024-34070 registriert und betrifft alle Versionen vor 2.1.9.

Read More

Datenleck bei Online-Arzt DrAnsay - Rezepte per Suchmaschine einsehbar

Am 14. Mai 2024 wurde ein schwerwiegendes Datenleck beim Online Arzt DrAnsay entdeckt, der für die Ausstellung von Online-Krankschreibungen und Cannabis Rezepten bekannt ist. Bis zu 20% der bisher ausgestellten Rezepte waren oder sind möglicherweise über die Suchmaschinen DuckDuckGo und Bing auffindbar. Betroffen sind persönliche Daten, eventuell Versicherungsdaten und die bestellten Produkte. Gesundheitsdaten sind nach Aussage des Anbieters nicht betroffen.

Read More