Wissen

Axios-Schwachstelle CVE-2026-40175: Header-Injection als Einfallstor in Cloud-Infrastrukturen

Wer die JavaScript-Bibliothek Axios in Node.js-Anwendungen einsetzt, sollte diese Meldung aufmerksam lesen. In allen Versionen von 0.x bis 1.x vor den Patches 0.31.0 bzw. 1.15.0 fehlt eine grundlegende Prüfung: Header-Werte werden nicht auf CRLF-Zeichen (\r\n) geprüft, bevor sie an den Socket übergeben werden. Das klingt zunächst technisch und harmlos – hat aber weitreichende Konsequenzen.

Read More

EU-Datenschutzbehörden bremsen „Digital Omnibus" – DSGVO-Abbau vorerst gestoppt

Die EU-Kommission wollte mit dem sogenannten „Digital Omnibus" weitreichende Änderungen an der DSGVO durchsetzen – darunter eine engere Definition von Personendaten, Einschränkungen beim Auskunftsrecht und einen Freifahrtschein für KI-Training auf Basis von Nutzerdaten. Nun haben der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) in einer gemeinsamen Stellungnahme deutliche Kritik geäußert und mehrere Kernpunkte klar abgelehnt.

Read More

LinkedIn sperrt DSGVO-Auskunftsrecht hinter Paywall – noyb beschwert sich

Wer wissen möchte, wer das eigene LinkedIn-Profil besucht hat, soll dafür bezahlen – das ist die aktuelle Praxis der Microsoft-Tochter. Die österreichische Datenschutzorganisation noyb sieht darin einen klaren Verstoß gegen Art. 15 DSGVO, der jedem das Recht auf kostenlose Selbstauskunft über gespeicherte Daten garantiert. noyb hat nun im Namen eines LinkedIn-Nutzers Beschwerde bei der österreichischen Datenschutzbehörde eingelegt und eine Geldbuße gefordert.

Read More

„Copy Fail" – 732 Bytes reichen für Root auf jedem Linux-Server

Sicherheitsforscher von Theori haben eine Schwachstelle im Linux-Kernel veröffentlicht, die seit 2017 in praktisch allen gängigen Distributionen schlummert. Der Fehler steckt im Zusammenspiel dreier Kernel-Komponenten: dem Krypto-Socket AF_ALG, dem Systemaufruf splice() und dem AEAD-Template authencesn. Ein nicht privilegierter lokaler Nutzer kann damit gezielt 4 Bytes in den In-Memory-Cache eines beliebigen lesbaren setuid-Binaries schreiben – ohne die Datei auf der Festplatte zu verändern. Standard-Integritätsprüfungen wie checksummen-basiertes File-Monitoring schlagen deshalb nicht an. Ein 732-Byte-Python-Skript reicht, um auf Ubuntu, Amazon Linux, RHEL und SUSE Root zu erlangen. Ein PoC ist öffentlich verfügbar.

Read More

Apache HTTP Server: HTTP/2-Lücke ermöglicht Remote Code Execution

In Apache HTTP Server 2.4.66 wurde eine Double-Free-Schwachstelle im HTTP/2-Stack entdeckt. Das bedeutet: Ein bereits freigegebener Speicherbereich wird ein zweites Mal freigegeben, was zu korruptem Heap-Speicher führt. Im schlimmsten Fall lässt sich darüber beliebiger Code auf dem Server ausführen – ein klassischer Remote-Code-Execution-Angriff. Der Auslöser ist ein früher Reset einer HTTP/2-Verbindung, ein Muster das Angreifer gezielt herbeiführen können. Mit CVSS 8.8 und dem technischen Impact „total" stuft auch die US-Behörde CISA die Lücke als ernstzunehmend ein, auch wenn bisher keine aktive Ausnutzung bekannt ist.

Read More

Kritische Lücke im Apache HTTP Server – mod_proxy_ajp

Im Apache HTTP Server wurde eine Heap-Buffer-Overflow-Schwachstelle im Modul mod_proxy_ajp entdeckt. Ein bösartiger AJP-Backend-Server kann dabei 4 Bytes kontrolliert außerhalb eines Heap-Puffers schreiben – was in der Praxis zur vollständigen Kompromittierung des Servers führen kann: Vertraulichkeit, Integrität und Verfügbarkeit sind alle maximal gefährdet. Der CVSS-Score liegt bei 9.8 von 10. Betroffen sind alle Versionen bis einschließlich 2.4.66. Das Angriffsszenario setzt voraus, dass mod_proxy_ajp aktiv ist und auf einen – auch intern kompromittierten – AJP-Server zeigt, etwa einen Tomcat-Backend-Server.

Read More

Europols Schatten-IT: Millionen Datensätze ohne Kontrolle

Laut einem Bericht von heise.de belegen interne Dokumente, dass Europol jahrelang bis zu 99 % seiner operativen Daten auf einer Plattform ohne IT-Kontrolle und Zugriffsprotokollierung verarbeitete — darunter Standortdaten, Finanztransaktionen und Ausweisdokumente auch von Unverdächtigen. Der EU-Datenschutzbeauftragte wurde offenbar gezielt im Dunkeln gelassen. Ein ehemaliger Insider berichtet, die Behörde versuche das System nun nachträglich zu legalisieren.

Read More

Schwere Sicherheitslücke im Apache Webserver ermöglicht Systemabsturz und Codeausführung

Die Apache Software Foundation hat ein Update für ihren weit verbreiteten HTTP Server veröffentlicht, das eine kritische Schwachstelle schließt. CVE-2026-23918 (CVSS 8.8) betrifft ausschließlich Apache HTTP Server 2.4.66 mit aktiviertem HTTP/2-Modul (mod_http2). Ein Angreifer kann mit nur zwei Netzwerkpaketen, ohne Authentifizierung, den Serverprozess zum Absturz bringen (Denial of Service). Unter bestimmten Systemkonfigurationen – konkret wenn der APR-mmap-Allocator aktiv ist, was auf Debian, Ubuntu und im offiziellen Docker-Image standardmäßig der Fall ist – ist sogar die Ausführung von beliebigem Code nachweislich möglich. Forscher haben einen funktionierenden Exploit demonstriert. Der klassische prefork-Modus ist nicht betroffen; wer jedoch worker oder event als MPM einsetzt, ist verwundbar.

Read More

CVE-2026-30893 – Kritische Lücke in Wazuh erlaubt Codeausführung über Cluster-Sync

Wer Wazuh als SIEM- oder Monitoring-Plattform im Cluster-Betrieb einsetzt, sollte umgehend handeln. In der Funktion decompress_files() werden Dateipfade aus empfangenen Sync-Archiven ungefiltert an os.path.join() übergeben – ein klassischer Path-Traversal-Fehler. Ein authentifizierter Cluster-Peer kann dadurch Dateien an beliebige Stellen im Dateisystem schreiben, etwa Python-Module überschreiben, die Wazuh selbst lädt, und so Code im Kontext des Wazuh-Dienstes ausführen. In Docker-Umgebungen, wo der Daemon häufig als root läuft, ist eine vollständige Systemkompromittierung möglich – inklusive Cron-Jobs, SSH-Keys und mehr. Ein funktionierender Proof-of-Concept ist öffentlich verfügbar, was die Dringlichkeit weiter erhöht.

Read More

CVE-2026-21510 – Windows Shell umgeht SmartScreen-Schutz

Microsoft hat am 10. Februar 2026 einen Patch für eine aktiv ausgenutzte Sicherheitslücke in der Windows Shell veröffentlicht. Die Schwachstelle mit der Kennung CVE-2026-21510 erhält einen CVSS-Score von 8,8 (Hoch) und betrifft nahezu alle aktuellen Windows-Versionen – von Windows 10 bis Windows 11 sowie Windows Server 2012 bis 2025.

Read More