Wissen

SonicWall Sicherheitslücke in SonicOS: Improper Access

Am 22. August 2024 wurde die schwerwiegende Sicherheitslücke CVE-2024-40766 in SonicWall SonicOS veröffentlicht, die Geräte der Generationen 5, 6 und 7 betrifft. Diese Schwachstelle, die durch unsachgemäße Zugriffskontrolle entsteht, ermöglicht es Angreifern, ohne Authentifizierung auf Ressourcen zuzugreifen und unter bestimmten Bedingungen das Firewall-Gerät zum Absturz zu bringen.

Read More

Wordpress Sicherheitslücke in LiteSpeed Cache Plugin betrifft 5 Millionen Websites

Am 19. August 2024 entdeckte das Wordfence Threat Intelligence Team eine kritische Sicherheitslücke im LiteSpeed Cache Plugin, das auf über 5 Millionen WordPress-Websites installiert ist. Die Schwachstelle CVE-2024-28000 ermöglicht es einem unauthentifizierten Angreifer, seine Benutzer-ID zu fälschen und sich so als Administrator zu registrieren, wodurch die vollständige Übernahme der Website möglich wird.

Read More

Sicherheitslücke in Spring Security entdeckt

Am 19. August 2024 wurde eine bedeutende Sicherheitslücke in Spring Security bekannt gegeben. Diese Schwachstelle CVE-2024-38810 betrifft die Versionen 6.3.0 und 6.3.1 und könnte dazu führen, dass bestimmte sicherheitsrelevante Prüfungen in Anwendungen nicht ordnungsgemäß durchgeführt werden.

Read More

Kritische SAML Sicherheitslücke in GitHub Enterprise Server behoben

Die Sicherheitslücke CVE-2024-6800 in GitHub Enterprise Server (GHES) betrifft die XML-Signatur-Validierung bei der SAML-Authentifizierung und ermöglicht es einem Angreifer mit direktem Netzwerkzugang, eine gefälschte SAML-Antwort zu erstellen. Dadurch konnte ein Angreifer ohne vorherige Authentifizierung Administratorzugriff auf die GHES-Instanz erlangen.

Read More

Öffentliche Konsultation zur Bewertung von Messengerdiensten

BfDI Initiiert Öffentliche Konsultation zur Bewertung von Messengerdiensten Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat ein neues Konsultationsverfahren zur Überprüfung von Messengerdiensten gestartet. Mit diesem Schritt möchte die Behörde die Entwicklung eines einheitlichen Standards für die Bewertung von Messengerdiensten fördern, die sowohl im privaten als auch im beruflichen Alltag immer stärker genutzt werden.

Read More

Kubernetes: kritische Sicherheitslücke in Ingress-nginx gefunden

Die kritische Sicherheitslücke CVE-2024-7646 in Ingress-nginx, einem weit verbreiteten Kubernetes-Controller, wurde entdeckt und behoben. Die Schwachstelle ermöglichte es einem Angreifer mit Berechtigungen zum Erstellen von Ingress-Objekten, die Annotation-Validierung zu umgehen und beliebige Befehle auszuführen. Dadurch konnten die Anmeldedaten des Ingress-nginx-Controllers kompromittiert werden, die standardmäßig Zugang zu allen Geheimnissen im Cluster haben.

Read More

Microsoft führt verpflichtende Multi-Faktor-Authentifizierung für alle Azure-Nutzer ein

Microsoft hat angekündigt, dass ab 15. Oktober 2024 die Multi-Faktor-Authentifizierung (MFA) für alle Azure-Nutzer verpflichtend wird. Diese Maßnahme zielt darauf ab, die Sicherheit von Azure-Tenants zu erhöhen und die Cloud-Investitionen der Unternehmen besser zu schützen. Wenn man sich jetzt bereits proaktiv darum kümmert, den Zeitpunkt für den Starts der MFA zu setzen, lässt sich die Umsetzung bis Anfang 2025 hinauszögern.

Read More

Forscher entdecken kritische Schwachstelle in OpenBMC

Ein Team von Sicherheitsforschern von Tetrel hat im August 2024 eine kritische Sicherheitslücke in OpenBMC entdeckt. Diese Schwachstelle CVE-2024-41660 betrifft den slpd-lite-Dienst, der standardmäßig in OpenBMC aktiviert ist. Die Lücke ermöglicht es Angreifern, die Kontrolle über einen Baseboard Management Controller (BMC) zu übernehmen, wenn sie Zugang zum BMC-Managementnetzwerk haben.

Read More

Kritische Schwachstelle in Kubernetes Git-Sync entdeckt: Potenzielle Command Injection

Am 9. August 2024 enthüllte der Sicherheitsforscher Tomer Peled von Akamai eine schwerwiegende Designschwachstelle im Kubernetes-Sidecar-Projekt Git-Sync, die auf der DEF CON 2024 vorgestellt wird. Die Schwachstelle ermöglicht es Angreifern, durch manipulierte YAML-Dateien entweder Daten aus Pods zu exfiltrieren oder Kommandos mit den Rechten des Git-Sync-Benutzers auszuführen.

Read More

Kritische Sicherheitslücke in WPS Office für Windows entdeckt

Die schwerwiegende Sicherheitslücke CVE-2024-7262 wurde in Kingsoft WPS Office Versionen 12.2.0.13110 bis 12.2.0.13489 auf Windows-Systemen entdeckt. Diese Schwachstelle ermöglicht es Angreifern, durch unzureichende Pfadvalidierung in der Datei promecefpluginhost.exe beliebige Windows-Bibliotheken zu laden. Die Lücke wurde bereits als Exploit in einer täuschenden Tabellenkalkulationsdatei weaponisiert, die mit einem einzigen Klick ausgeführt werden kann.

Read More