Wissen
- Home /
- Wissen
Kritische PHP Sicherheitslücke in Windows: Befehlsinjektion möglich
April 2024 – Ein Sicherheitsforscher berichtet auf Github über eine PHP Sicherheitslücke die Windows-Benutzer betrifft. Die Schwachstelle ermöglicht eine Befehlsinjektion durch speziell gestaltete Argumente in der Funktion proc_open, selbst wenn die Option “bypass_shell” aktiviert ist, die normalerweise das Ausführen eines externen Kommandos über die CMD.exe unterbinden soll. Die Schwachstelle betrifft ältere PHP Versionen auf Windows : PHP 8.1 < 8.1.28 PHP 8.2 < 8.2.18 PHP 8.3 < 8.3.5 Nutzer dieser Systeme sollten auf Version 8.1.28, 8.2.18 bzw. 8.3.6 aktualisieren, um den Schutz vor dieser kritischen Sicherheitslücke zu gewährleisten. Laut Dokumentation sollte proc_open in PHP 7.4.0 und höher externe Befehle direkt ausführen können, ohne durch eine Shell zu gehen, wenn die Befehle als Array übergeben werden. Dies schließt eine automatische Escapierung der Argumente durch PHP mit ein. Die Option bypass_shell ist speziell dafür gedacht, die Nutzung der CMD.exe zu umgehen.
Read MoreSpring Framework: weitere SSRF Schwachstelle entdeckt
April 2024 – Schon wieder wurde eine schwere Sicherheitslücke (CVE-2024-22262) im Spring Framework gefunden. Diese betrifft die Art und Weise, wie URLs durch die Verwendung des UriComponentsBuilder analysiert und Host-Überprüfungen durchgeführt werden. Betroffene Anwendungen könnten nach erfolgreichem Bestehen der Validierungsprüfungen Opfer von Open Redirect- oder Server-Side Request Forgery (SSRF)-Angriffen werden. Diese Schwachstelle ist identisch mit den bereits früher gemeldeten CVEs 2024-22259 und 2024-22243, unterscheidet sich jedoch in den Eingabebedingungen.
Read MoreKritische Lücke In Palo Alto's PAN-OS: ermöglicht Befehlsinjektion
April 2024 – Ein kritisches Sicherheitsrisiko mit CVE Score 10 / 10 wurde in der PAN-OS Software von Palo Alto Networks identifiziert, die spezifische Versionen und Konfigurationen des Features GlobalProtect betrifft. Die Schwachstelle, eingestuft unter der Kennung CVE-2024-3400, erlaubt es nicht authentifizierten Angreifern, mittels Befehlsinjektion beliebige Codes mit Root-Rechten auf den betroffenen Firewalls auszuführen. Betroffen sind die Versionen PAN-OS 10.2, 11.0 und 11.1, wenn diese mit einem GlobalProtect-Gateway oder -Portal konfiguriert sind und die Gerätetelemetrie aktiviert ist. Die Cloud NGFW, Panorama-Geräte und Prisma Access sind von diesem Problem nicht betroffen.
Read MoreKritische Sicherheitslücke in Apache Kafka entdeckt: CVE-2024-27309
April 2024 – Eine kritische Sicherheitslücke, die als CVE-2024-27309 identifiziert wurde, betrifft die beliebte Open-Source-Streaming-Plattform Apache Kafka. Die Entdeckung dieser Schwachstelle wurde gestern Abend von Colin McCabe von der Apache Software Foundation bekannt gegeben. Die Lücke weist auf potenzielle Fehlsteuerungen der Zugriffskontrollen während der Migration von ZooKeeper-Modus (ZK) zu KRaft-Modus in Apache Kafka hin. Folgende Versionen von Apache Kafka von dieser Schwachstelle betroffen: Apache Kafka 3.5.0 Apache Kafka 3.5.1 Apache Kafka 3.5.2 Apache Kafka 3.6.0 Apache Kafka 3.6.1 Während eines Migrationsprozesses von ZooKeeper-Modus zu KRaft-Modus in Apache Kafka können in bestimmten Fällen Zugriffskontrolllisten (Access Control Lists, ACLs) nicht korrekt durchgesetzt werden. Die Schwachstelle tritt unter zwei spezifischen Voraussetzungen auf:
Read MoreWordPress patcht Cross-Site Scripting-Sicherheitslücke
In der Veröffentlichung von WordPress 6.5.2 am 9. April 2024 wurde eine gespeicherte Cross-Site-Scripting-Sicherheitslücke gepatcht, die von nicht authentifizierten Benutzern ausgenutzt werden konnte, wenn ein Kommentarblock auf einer Seite vorhanden ist, sowie von authentifizierten Benutzern, die Zugriff auf den Block-Editor haben.
Read MoreKritische Sicherheitslücke in FortiClient Linux: Remote Code Execution
April 2024 - Sicherheitsforscher haben eine kritische Sicherheitslücke in FortiClient Linux veröffentlicht, die eine erhebliche Bedrohung für die Sicherheit der Benutzer darstellt. Diese Sicherheitslücke, kategorisiert als ‘Unzureichende Steuerung der Codegenerierung’ (auch bekannt als ‘Code Injection’) mit CWE-94, ermöglicht es nicht authentifizierten Angreifern, beliebigen Code auszuführen, indem sie eine Schwachstelle in der Node.js-Konfiguration ausnutzen. Bei erfolgreicher Ausnutzung können Angreifer nicht autorisierten Code oder Befehle ausführen, indem sie FortiClient Linux-Benutzer dazu bringen, eine bösartige Website zu besuchen. Dies könnte schwerwiegende Folgen haben, einschließlich Datenverlust, Systemkompromittierung und unbefugtem Zugriff auf sensible Informationen. Die Lücke CVE-2023-45590 wird mit CVSSv3 Score: 9.4 / 10 als kritisch bewertet
Read MoreGitLab: Patch stopft kritische XSS Lücken
April 2024 - GitLab hat neue Versionen (16.10.2, 16.9.4, 16.8.6) für die Community Edition (CE) und Enterprise Edition (EE) veröffentlicht um teils kritische Lücken zu stopfen. Es wird dringend empfohlen On-Premise Instanzen auf die neueste Version zu aktualisieren. Titel Schweregrad Gespeicherter XSS-Injection im Diff-Viewer Hoch Gespeicherter XSS über Autovervollständigungsergebnisse Hoch Redos bei Integrations-Chat-Nachrichten Mittel Redos während des Parsens des JUnit-Testberichts Mittel Gepatchte Sicherheitslücken
Read MoreTwitter behebt URL-Rewrite-Fehler, der Phishing ermöglichte
10. April 2024 - Die Social-Media-Plattform X, ehemals bekannt als Twitter, hat kürzlich einen peinlichen Fehler behoben, der es ermöglichte, dass URLs auf der Plattform missbräuchlich für Phishing-Kampagnen genutzt werden konnten. Laut einem Bericht des News Portals TheRegister.com trat der Fehler am 8.4.24 auf, nachdem Programmierer von X eine Regel in der iOS-App implementierten, die Links von Twitter.com automatisch in X.com-Links umwandelte.
Read MoreSchleswig-Holstein wechselt von Microsoft zu Linux und LibreOffice
3.4.24: Die Regierung des Landes hat mit einem Kabinettsbeschluss die Einführung der quelloffenen Software LibreOffice als standardmäßige Office-Lösung und einen Umstieg von Microsoft Windows zu Linux beschlossen.
Read MoreSicherheitspanne bei Microsoft: interne Passwörter offen im Netz
April 2024: Die Sicherheitsforscher von SOCRadar entdeckten einen öffentlich zugänglichen Speicherserver auf Microsofts Azure-Cloud-Dienst, der interne Informationen in Bezug auf Microsofts Suchmaschine Bing speicherte. Der Azure-Speicherserver enthielt Code, Skripte und Konfigurationsdateien mit Passwörtern, Schlüsseln und Anmeldeinformationen, die Microsoft-Mitarbeiter für den Zugriff auf andere interne Datenbanken und Systeme nutzten. Laut einem Interview mit TechCrunch war das Problem, dass der Speicherserver selbst nicht durch ein Passwort geschützt war und somit von jedermann im Internet eingesehen werden konnte.
Read MoreCategories
Tags
- .Burkina Faso
- Active Directory
- AI
- Anleitungen
- Apache HTTP Server
- Bafin
- Bfdi
- Browser-Sicherheit
- Browser-Update
- BSI
- CERT-Bund
- Chrome
- CISA
- Compliance
- Container
- Container Security
- Container-Sicherheit
- Cosign
- CVE
- CVE-2026
- Cyberangriff
- Cybersecurity
- Dateimanipulation
- Datenbankensicherheit
- Datenpanne
- Datenschutz
- DDoS
- Denial of Service
- Deutschland
- DFN-CERT
- DIN ISO 37002
- EASM
- Eu
- Fatf
- Firewall
- Forensik
- Fortinet
- Foxit
- Geldwäsche
- Geldwäscheschutz
- Germany
- Gesetze
- Gesundheitswesen
- Go-Schwachstellen
- Graue Liste
- Graylist
- Hacking
- Helm
- Hinweisgeberschutz
- Incident Response
- ISMS
- ISO 27001
- ISO Norm
- IT Security
- IT-Sicherheit
- Java
- KI
- Konfigurationsmanagement
- Kubernetes
- LDAP
- Libaom
- Linux
- Linux-Sicherheit
- Log4cxx
- Log4j
- Malware Protection Engine
- Messenger
- Microsoft Edge
- Microsoft Windows
- Mittleres Risiko
- Money Laundry
- Mosambik
- Netty
- Netzwerksicherheit
- NGINX
- NIS 2
- NIST CSF
- OpenSSL
- Palo Alto
- PAN-OS
- Patch-Management
- Pentest
- PostgreSQL
- Privilegieeskalation
- Privilegieneskalation
- Python
- Remote Access
- Remote Code Execution
- Remote-Codeausführung
- Salt
- Salt Bundle
- Schulung
- Schwachstelle
- Schwachstellen
- Schwachstellenmanagement
- Server
- Server-Sicherheit
- Serversicherheit
- Sicherheitsadvisory
- Sicherheitslücke
- Sicherheitspatch
- Sicherheitsupdate
- SIEM
- SLES 15
- SOC2
- Social Media
- SSSD
- SUSE
- SUSE Linux
- SUSE Manager
- Südafrika
- Ubuntu
- Updates
- Verfügbarkeit
- Verschlüsselung
- Vulnerabilities
- Web-Sicherheit
- Webmail
- Webserver
- Webserver-Sicherheit
- Windows
- Windows Defender
- Windows Security
- Windows Server
- Windows Update
- X.Org
- XSS
- Xwayland