Ein Einblick in die Welt der IT.
Adobe schließt vier Sicherheitslücken im Webshop Magento Commerce 2 und Open Source 2. CVE-2020-9689 (Path Traversal-Attacke), CVE-2020-9690 (zeitbasierte Angriffsmöglichkeit), CVE-2020-9691 (DOM-basiertes Cross-Site-Scripting) und CVE-2020-9692 (nicht näher bezeichnete Umgehung von Sicherheitsvorkehrungen) Weitere Informationen unter: https://helpx.adobe.com/security/products/magento/apsb20-47.html
Ich betreue unter anderem Server für McAfee Drive Encryption mittels McAfee ePolicy Orchestrator (ePO). Um den Fall eines Recovery, bei vergessenem Passwort, vom System verlorenem Token oder ähnlichem, durchzuführen und den Zugang zum System zu bekommen, wird ein Challenge & Response Verfahren durchgeführt. Normalerweise mit einem Techniker, der hierbei unterstützt. Da dieser nicht immer sofort … Weiterlesen
AVM hat ab sofort das neue Fritz!OS 7.11 für die Fritz!Box 7490 veröffentlicht. Das Update kann direkt in der Mesh-Übersicht durchgeführt werden. Version 7.11 bringt über 50 Neuerungen und Verbesserungen. Für alle die das neue Fritz!OS noch nicht installiert haben, folgen hier die Änderungen und Neuerungen: Fritz!OS 7.11 Release Notes Neue Funktionen in FRITZ!OS 7.11 … Weiterlesen
Wer in Drupal 8 oder 7 eines der Module “Menu Item Extra” oder “Workflow” nutzt, der sollte auf die aktuelle Version aktualisieren. Alle Versionen in Drupal vor 8.x-2.5 und Drupal 7 vor 7.x-2.12, weisen eine Lücke auf. Ein Angreifer kann die Lücke mittels XSS und CSRF angreifen und sofern er über die Rechte “administrator noedes” … Weiterlesen
Das Plugin wird von ca. 60.000 Webseiten eingesetzt und weißt eine XSS-Lücke auf. Diese ermöglicht es Angreifern ohne Authentifizierung, Schadcode auf die Seite zu laden. Das update 8.0.27 behebt das problem.
Das Open-Source DNS-Programm, BIND, ist aktuell von Sicherheitslücken betroffen. Ein Denial-of-Service-Angriff ist möglich. Im CVE-2018-5743 sind diese für die BIND Version kleiner 9.11.7 beschrieben, während zusätzlich Versionen vor 9.14.2 weitere Lücken laut CVE-2019-6467 aufweisen. Alle neueren Versionen, also ab 9.11.7 und 9.14.2 sind gefixt. Der CERT-Bund informiert dazu unter: https://www.cert-bund.de/advisoryshort/CB-K19-0423
Die Zentrale CCU2 der Hausautomation HomeMatic, der Firma eQ3, wurde am 6.3.2019 aktualisiert. Die neue Firmware 2.41.8 behebt ein Sicherheitsproblem des Web Session Managements der CCU. HomeMatic CCU2 Firmware 2.41.8 [HMCCU-153] Security Update des Web Session Managements der CCU (Unberechtigtes Login durch Manipulation mit der SessionID) Risiko: Angriffsmöglichkeit bestand – aus dem Internet: Wenn Port … Weiterlesen
Die O2 Internet-Router, HomeBox 6441, erhielten ein Sicherheitsupdate. Das Update schließt eine kritische Lücke in der Weboberfläche zur Konfiguration der HomeBox. Geräte die im Internet zu finden sind, lassen sich angreifen indem ein Besitzer einer HomeBox, eine präparierte Webseite aufruft, die dann den O2-Router übernimmt. Der Angriff ist auch über einen Umweg möglich, sodass der … Weiterlesen
Die Enwickler des Mozilla Chrome Browser haben ein neues Update veröffentlicht. Es schließt 58 Sicherheitslücken und behebt einige Fehler. Quelle: https://chromereleases.googleblog.com/
Mozilla hat das Update 65.0 für den Firefox veröffentlicht. Es schließt kritische Sicherheitslücken und behebt einige Fehler für den Desktop Client als auch für Smartphones mit Android und iOS. Zudem ermögicht Firefox Quantum mehr Kontrolle über die eigene Privatsphäre. mehr Kontrolle über die eigene Privatsphäre im Firefox: https://blog.mozilla.org/press-de/2019/01/29/neuer-firefox-ermoeglicht-noch-mehr-kontrolle-ueber-die-eigene-privatsphaere/ Quelle: https://www.mozilla.org/en-US/firefox/65.0/releasenotes/
Noch im Dezember 2018 veröffentlichte das phpMyAdmin Team ein Sicherheitsupdate ihrer Software. Das Update 4.8.4 behebt 3 schwerwiegende Sicherheitslücken und korrigiert mindestens 6 Fehler. phpMyAdmin 4.8.4 Release Notes Sicherheit Local file inclusion (https://www.phpmyadmin.net/security/PMASA-2018-6/), XSRF/CSRF vulnerabilities allowing a specially-crafted URL to perform harmful operations (https://www.phpmyadmin.net/security/PMASA-2018-7/), and an XSS vulnerability in the navigation tree (https://www.phpmyadmin.net/security/PMASA-2018-8/) Fehler Issue … Weiterlesen
Microsoft hat kurzfristig und außerhalb der üblichen Patchzeiten (2. Dienstag des Monats) das Update KB4469342 für Windows 10, veröffentlicht. Das Update gibt es für alle aktuell unterstützten Windows Versionen. Es behebt eine kritische Lücke im Internet Explorer 11. Ein Angreifer kann mittels präparierter Webseite einen Rechner komplett übernehmen. Dabei nutzt er einen Fehler in der … Weiterlesen
Die Software zur Konfiguration von Logitech Mäusen und Tastaturen, Logitech Options, hat in früheren Versionen ein Sicherheitsproblem. Die Lücke bzw. das Probleme fand Travis Ormandy, Sicherheitsforscher bei Google im September 2019. Zum einen trägt sich die Software in den Autostart und wird bei jedem Neustart ausgeführt. Dazu kommt, dass die Anwendung mit dem Framework Electron … Weiterlesen
Kurz nach dem Release von WordPress 5.0, der Gutenbergeditor war eine der größten Änderungen, ist nun das Sicherheitsupdate 5.0.1 erschienen. Insgesamt werden 7 sicherheitsrelevante Themen gelöst. Diese existieren bereits seit WordPress 3.7, sodass das Update dringend installiert werden soll. WordPress 5.0.1 Release Notes Karim El Ouerghemmi discovered that authors could alter meta data to delete files … Weiterlesen
Der Sicherheitsspezialist, Sophos, hat seine Unified Threat Management (UTM) in Version 9.6 veröffentlicht. Das Update 9.6 führt über 50 Bugfixes durch und bringt 8 neue Features. Zu den wesentlichen Änderungen gehören: Integration von Lets Encrypt Anpassung der WAF an eigene Corporate Identity erweiterte Reports vom Sophos Sandstorm RED Firmware Verbesserung für 3G / 4G Verbesserungen … Weiterlesen