Sicherheitslücke in IoT Plattform Apache StreamPipes entdeckt

Ende Juni 2024 wurde eine kritische Sicherheitslücke in der IoT-Plattform Apache StreamPipes bekannt gegeben. Die Schwachstelle CVE-2024-29868 betrifft die Generierung von Wiederherstellungs-Token im Rahmen der Benutzer-Selbstregistrierung und des Passwort-Wiederherstellungsmechanismus. Diese Schwachstelle beruht auf der Verwendung eines kryptografisch schwachen Pseudozufallszahlengenerators (PRNG).

CVSS v3 Basiswert: 9.1
CVSS-Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Durch die Verwendung dieses schwachen PRNGs ist es Angreifern möglich, das Wiederherstellungs-Token in einer angemessenen Zeitspanne zu erraten. Dies kann dazu führen, dass ein Angreifer die Kontrolle über das angegriffene Benutzerkonto übernehmen kann. Die Schwachstelle betrifft alle Versionen von Apache StreamPipes von 0.69.0 bis 0.93.0.

Benutzern wird dringend empfohlen, auf die Version 0.95.0 zu aktualisieren, die diese Sicherheitslücke behebt.

Related Posts

Datenleck: Chinesischer Balkonkraftwerkhersteller Deye weist Verantwortung von sich

Auf dem Blog von Günther Born wird berichtet, dass Balkonkfraftwerkbesitzer über die Deye-Cloud auf Solardaten einer fremden Person zugreifen konnte. Die Wechselrichter von Deye, die in vielen Balkonkraftwerken und Solaranlagen in Deutschland eingesetzt werden, sind über das Internet verbunden und speisen Daten in eine Cloud in China. Dies wirft nicht nur erhebliche Datenschutzprobleme auf, da fremde Anlagendaten samt persönlicher Informationen sichtbar wurden, sondern ist über dies noch schlecht programmiert, so dass man Anlagendaten fremder Besitzer angezeigt bekommt. Deye bestritt laut Born das Problem, und verweist darauf, dass die Nutzer die fremden Anlagen selbst angelegt haben sollen.

Read More

Adobe: kritische Sicherheitslücke in Magento Shop System

Am 11. Juni 2024 veröffentlichte Adobe ein wichtiges Sicherheitsupdate für Adobe Commerce, Magento Open Source und das Adobe Commerce Webhooks Plugin. Das Update schließt kritische Sicherheitslücken, die bei erfolgreicher Ausnutzung zur Ausführung beliebigen Codes, zur Umgehung von Sicherheitsmechanismen und zur Eskalation von Benutzerrechten führen können. Diese Schwachstellen betreffen Versionen bis einschließlich 2.4.7 und früher, sowie einige ältere, von Kunden des Extended Support Program genutzte Versionen.

Read More

Path Traversal Lücke in SolarWinds Serv-U entdeckt

In SolarWinds Serv-U wurde eine Directory Traversal-Schwachstelle (CVE-2024-28995) entdeckt, die es Angreifern ermöglicht, auf sensible Dateien des Hostsystems zuzugreifen. Diese Schwachstelle wurde als kritisch mit einem CVSS-Score von 8.6 eingestuft. Betroffen sind SolarWinds Serv-U 15.4.2 HF 1 und frühere Versionen.

Read More