Kritische Lücken in Drupal-Modulen

Zwei Sicherheitslücken in den Modulen reCaptcha v3 und Webform machen Angriffe auf mit dem Content Management System (CMS) Drupal 8.x erstellte Internetseitem angreifbar. Deshalb haben die Drupal-Entwickler das Sicherheitsrisiko als "kritisch" bewertet. Inzwischen sind aber abgesicherte Versionen sind verfügbar. Die reCaptcha-Lücke Wegen einer fehlenden Überprüfung könnten kriminelle Angreifer nach einer erfolgreich gelösten reCaptcha-v3-Abfrage entweder ungültige oder unvollständige Formulare auf den Server übertragen. Wo genau das Ziel eines solchen Angriffs liegt, führt Drupal in seiner Sicherheitswarnung dazu leider nicht weiter aus. Die abgesicherte Versiondes CMS trägt die Versionsnummer 8.x-1.2. Die Webforms-Lücke Ein ähnlicher Fehler im Modul Webforms führt dazu, dass Angreifer auf eigentlich unveröffentlichte Informationen zugreifen könnten. Hier schließt die Version 8.x-5.12  die zweite Sicherheitslücke in dem beliebten CMS. Weitergehende Informationen zu den Sicherheitslücken gibt Drupals Security Advisory: reCAPTCHA v3 - Critical - Access bypass - SA-CONTRIB-2020-019 Critical - Access bypass - SA-CONTRIB-2020-018

2020-05-15T10:06:13+02:00Mai 15th, 2020|Coding, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Kritische Lücken in Drupal-Modulen
Weiterlesen

Erlang/OTP 23.0 kommt ohne SSL3.0

Exakt ein Jahr nach der Freigabe der letzten Hauptversion haben die Entwickler des schwedischen Ausrüsters Ericsson die Version 23.0 von Erlang/OTP (Open Telecom Platform) vorgestellt. Zum Update gehört sowohl die Programmiersprache als auch die dazugehörige Laufzeitumgebung und die Programmbibliothek. Erlang 23.0 bringt mehr Sicherheit Das Entwicklerteam hat unter anderem in den sicherheitsrelevanten Bereichen nachgebessert. Erlang/OTP 23.0 unterstützt jetzt auch die bereits mit OpenSSH 6.5 neu eingeführte Datei-Repräsentation für SSH-Schlüssel openssh-key-v1. Ausgenommen sind dabei vorläufig noch geheime Schlüssel. Algorithmen kann man zukünftig in der .config-Datei konfigurieren, so dass sich zum Beispiel standardmäßig nicht aktivierte Algorithmen auch ohne Änderungen am Code aktivieren lassen. TLS 1.3 wurde neu in die Liste der standardmäßig unterstützten Versionen aufgenommen wurde, dafür entfällt die Unterstützung für das veraltete SSL 3.0 vollständig. Um sicherzustellen, dass sich über veraltete Middleboxen erfolgreich TLS-1.3-Verbindungen aufbauen lassen, nutzen die Entwickler den sogenannten Middlebox-Compatibility-Modus. Der lässt einen Handshake mit TLS 1.3 eher wie einen TLS-1.2-Handshake aussehen, was Chancen für einen erfolgreichen Verbindungsaufbau mit TLS 1.3 verbessern soll. Ebenfalls neu in Erlang 23.0 ist die Unterstützung für einen Schlüsselaustausch über Edward-Kurven und das Auffüllen mit PSS-RSA bei der Überprüfung von Signaturen. Auch der Kernel wurde überarbeitet Auch im Kernel von Erlang hat sich einiges getan: Er hat unter anderem mit dem [...]

2020-05-14T21:20:18+02:00Mai 14th, 2020|Coding, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Erlang/OTP 23.0 kommt ohne SSL3.0
Weiterlesen

Kostenlos von Windows 7 auf Windows 10 upgraden

Am 14. Januar 2020 hatte Microsoft nach über zehn Jahren den Support für Windows 7 eingestellt und lieferte das letzte Sicherheits-Update für dieses Betriebssystem. Aber obwohl Windows 7 inzwischen zahlreiche nicht behobene Sicherheitslücken aufweist, läuft das Uralt-Betriebssystem bis heute immer noch auf jedem vierten PC. Gratis-Upgrade von Windows 7 auf Windows 10 Hochoffiziell ist das bis Juli 2016 gratis verteilte Upgrade auf Windows 10 jetzt seit vier kostenpflichtig. Windows 10 Home kostet im Microsoft Store 145 Euro, Windows 10 Pro kostet im Shop satte 259 Euro. Viele wissen aber nicht, dass man für ein weiterhin kostenloses Upgrade nur ein kleines Microsoft-Tool: der Windows-10-Update-Assistenten Den kann man bei Heise oder COMPUTER BILD gratis herunterladen. Nach dem Download des Tools rufen Sie den Update-Assistenten auf. Der prüft zuerst, ob Ihr Rechner mit Windows 10 kompatibel ist und leitet dann gegebenenfalls den Download und die Installation des Upgrades ein. Interessierte sollten sich aber beeilen, denn Microsoft könnte die Verbindung des Windows-10-Update-Assistenten zu seinen Servern schon morgen kappen. Upgrade mit Lizenzschlüssel des Vorgängers Eine Alternative Möglichkeit für den kostenlosen Upgrade ist die Neuinstallation von Windows 10, das Sie dann mit ihrem Lizenzschlüssel für Windows 7 oder 8.x aktivieren können. Wie das genau geht, beschreibt Microsoft sogar in seinem Forum. Ob und wann Microsoft auch dieses Schlupfloch schließt, hat der [...]

2020-05-13T08:19:29+02:00Mai 13th, 2020|Allgemein, Sicherheit|Kommentare deaktiviert für Kostenlos von Windows 7 auf Windows 10 upgraden
Weiterlesen

Drupal 8: Mehrere Lücken im Webform-Modul beseitigt

Durch ein wichtiges Sicherheitsupdate soll verhindert werden, dass Angreifer aus der Ferne mit Formularfunktionen von Drupal spielen oder sogar schädlichen Code ausführen. Wenn Sie unter Drupal 8 das Webform-Modul nutzen, um Formulare zu erstellen, sollten Sie dieses so bald wie möglich auf den neuesten Stand bringen. Die Entwickler des CMS haben insgesamt sieben Sicherheitslücken geschlossen, deren Schweregrad von "moderately critical" bis "critical" reicht. Angreifer könnten aus der Ferne die Lücken, die unter anderem in fehlenden Validierungs- und Filtermechanismen der Formularfunktionen bestehen, zum Beispiel ausnutzen, um JavaScript- oder PHP-Code auszuführen. Exploit-Möglichkeiten sind noch nicht für alle Lücken bekannt und zum Teil ist auch eine vorherige Authentifizierung nötig. Die abgesicherte Version Webform 8.x-5.11 können Sie als Update aus dem CMS heraus sowie als Download auf der Drupal-Website bekommen. Details zu den geschlossenen Sicherheitslücken Zu den Drupal-Sicherheitslücken geben die nachstehenden, nach Schweregrad geordneten Advisories nähere Informationen: Webform - Critical - Remote Code Execution - SA-CONTRIB-2020-011 Webform - Critical - Access bypass - SA-CONTRIB-2020-016 Webform - Moderately critical - Cross site scripting - SA-CONTRIB-2020-015 Webform - Moderately critical - Cross site scripting - SA-CONTRIB-2020-014 Webform - Moderately critical - Cross site scripting - SA-CONTRIB-2020-013 Webform - Moderately critical - Access bypass - SA-CONTRIB-2020-012 Webform - Moderately critical - Access bypass - SA-CONTRIB-2020-017

2020-05-08T16:49:16+02:00Mai 8th, 2020|CMS, HTML, Javascript, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Drupal 8: Mehrere Lücken im Webform-Modul beseitigt
Weiterlesen

Chrome-Update schließt drei Sicherheitslücken

Nutzer des Google-Browsers Chrome unter Linux, macOS oder Windows sollten jetzt die aktuelle Version  81.0.4044.138 installieren. Mit diesem Update haben die Entwickler insgesamt drei Schwachstellen aus der Welt geschafft. Aus einer Warnmeldung von Google geht hervor, dass die Bedrohung als "hoch" eingestuft wurde. Wie üblich nennt Google nur wenige Details zu den Lücken, damit potentielle Angreifer möglichst wenig Ansatzpunkte haben. Nur wenige Details veröffentlicht Die wenigen Angaben lassen vermuten, dass Angreifer durch das erfolgreiche Ausnutzen einer der Schwachstellen (CV-2020-6831) einen Speicherfehler (Stack Buffer Overflow) hervorrufen könnten, was normalerweise zu einem Absturz der Anwendung führt. Häufig gelangt so aber auch Schadcode auf die betroffenen Rechner. Das Einspielen des Browser-Updates Unter den Betriebssystemen macOS und Windows läuft die Aktualisierung automatisch. Wenn das Dreipunktmenü oben rechts eingefärbt dargestellt wird, müssen Sie Chrome zum Abschluss der Installation nur noch neu starten.

2020-05-07T10:16:05+02:00Mai 7th, 2020|Browser, Sicherheit|Kommentare deaktiviert für Chrome-Update schließt drei Sicherheitslücken
Weiterlesen

Update gegen 2 Zero-Day-Lücken im Firefox

Von der Mozilla Foundation wird auf zwei als 'kritisch' eingestufte Sicherheitslücken in den aktuellen Versionen ihres Webbrowsers Firefox hingewiesen. Über die Zero-Day-Lücken Beide Schwachstellen gehören zum sogenannten 'use-after-free'-Typus und können dazu missbraucht werden, untergeschobenen Code eines Angreifers im Browser auf dem Rechner des Benutzers auszuführen. In einer Mitteilung  von Mozilla heißt es dazu, man beobachte schon Angriffe auf den Browser, die diese Lücken ausnutzen. Daher sollten die Benutzer möglichst umgehend ein vom Hersteller bereit gestelltes Update einspielen. Für die zwei Lücken wurden die CVE-Nummern 2020-6819 und 2020-6820 vergeben. In der Version 74.0.1 des aktuellen Firefox-Browsers beziehungsweise in der Version 68.6.1 der ESR-Variante von Firefox sind beide Schwachstellen in allen Betriebssystemen (Windows, macOS und Linux) schon abgedichtet. Die Entdecker der Lücken Gefunden hatten die Lücken Francisco Alonso von revskills und Javier Marcos von JMPSec. Die Probleme betreffen mögliche Race Conditions bei Nutzung des nsDocShell-Destruktors oder beim Umgang mit einem ReadableStream. Auf Twitter weist Alonso auch darauf hin, dass möglicherweise auch andere Browser davon betroffen sind. Aktuell gibt es noch keine weitergehenden Details zu den zwei Schwachstellen, die sollen aber kurzfristig folgen. Schon im Januar dieses Jahres gab es eine kritische Lücke in Mozillas Firefox.

2020-04-05T10:36:16+02:00April 5th, 2020|Browser, Sicherheit|Kommentare deaktiviert für Update gegen 2 Zero-Day-Lücken im Firefox
Weiterlesen

Edge bringt vertikale Tabs und Passwortschutz

Soeben hat Microsoft einige neue Funktionen für den Edge-Browser auf Basis von Chromium vorgestellt. In Zukunft kann der Microsoft-Browser offene Tabs in einer vertikal untereinander angeordneten Liste zeigen, statt sie oberhalb der Adresszeile aufzureihen. Ein Menü für vertikalen Tabs Das Menü zu den Tabs lässt sich über einen Button an der linken oberen Ecke des Edge-Fensters ausklappen. Dort lassen sich die Tabs dann auch umschalten, schließen oder in der Reihenfolge ändern. Die Benutzer können dabei auch mehrere Tabs in der Liste zusammen auswählen und dann auch als Gruppe verschieben. Dabei bleibt die normale Tab-Ansicht oberhalb der Adress-Zeile weiterhin parallel erhalten. Browser inklusive Paßwortschutz Ganz neu ist auch eine Sicherheitsfunktion, mit der gespeicherte Passwörter vor Diebstahl geschützt werden sollen: Password Monitor untersucht im Browser gespeicherte Kombinationen aus Nutzernamen und Passwörtern und gleicht sie dabei mit einer Datenbank mit Informationen aus dem Dark Web ab – zum Beispiel frei zugänglichen Passworttabellen von zwischenzeitlich kompromittierten Internetseiten. Wird ein Match gefunden, dann weist der Browser den Benutzer darauf hin, dass die Zugangsdaten eventuellen Angreifern bekannt sein könnten und rät zu einem Wechsel des Passworts. Password Monitor soll zunächst erst einmal als Preview-Version starten. Screenshot: Microsoft

2020-03-31T19:14:04+02:00März 31st, 2020|Browser, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Edge bringt vertikale Tabs und Passwortschutz
Weiterlesen

JavaScript beim Tor-Browser 9.0.7 deaktiviert

Um dafür zu sorgen, dass der Tor Browser den Benutzern auch weiterhin ein verlässliches anonymes Surfen garantiert, haben die Entwickler in der aktuellen Version 9.0.7 jetzt vorübergehend ihre Sicherheitsvorkehrungen gegen JavaScript deutlich verschärft. Die Änderung bei Javascript Wählt man jetzt in den Einstellungen unter "Datenschutz & Sicherheit" die Stufe "Am sichersten" aus, dann wird die Ausführung von JavaScript komplett deaktiviert. Es handelt sich um eine Vorsichtsmaßnahme der Entwickler, weil es zur Zeit zu Problemen mit der Browser-Erweiterung NoScript kommen kann. Deshalb ist in einigen möglichen Situationen nicht sicher gestellt, dass JavaScript verlässlich blockiert wird. Mit JavaScript in Internetseiten könnten Dritte die Benutzer unter anderem tracken. Man Javascript wenn nötig auch wieder aktivieren Wer bis dato im Am-sichersten-Mode JavaScript gezielt mit NoScript auf ausgewählten Websites blockiert hat und mit der jetzt kompletten Deaktivierung nicht arbeiten kann, hat die Möglichkeit, JavaScript auf eigenes Risiko wieder zu aktivieren. Wie man das macht, beschreibt das Tor-Entwickler-Team in diesem Beitrag.

2020-03-25T18:10:49+02:00März 25th, 2020|Browser, Javascript, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für JavaScript beim Tor-Browser 9.0.7 deaktiviert
Weiterlesen

Drupal: Angriffe auf Admin-Accounts

Durch eine Sicherheitslücke in der Bibliothek des CKEditor werden Admin-Konten von Drupal angreifbar. Wenn Sie auf einer mit dem Content Management System (CMS) Drupal erstellten Website die Drittanbieter-Bibliothek WYSIWYG CKEditor für registrierte Seitennutzer nutzen, sollten Sie das CMS jetzt dringend auf den aktuellen Stand bringen. Vom Drupal-Team wird die Sicherheitslücke in der Bibliothek als "moderat kritisch" eingestuft. Davon betroffen sind die Versionen Drupal 8.7.x und 8.8.x. Die Ausgaben 8.7.12 und 8.8.4 sind abgesichert, wie man einer Meldung der Entwickler entnehmen kann. Mit den aktuellen Versionen kommt jeweils auch die reparierte CKEditor-Version 4.14 mit. Benutzer von Drupal 7 sollten dabei auch sicherstellen, dass diese CKEditor-Version auch in dem System installiert ist. Kriminelle Angreifer, die mit der Bibliothek Content für eine verwundbare Website erstellen können, könnten über die Schwachstelle unter Umständen auch Admin-Konten über XSS-Attacken angreifen.

2020-03-20T19:34:17+02:00März 20th, 2020|Allgemein, CMS, Sicherheit|Kommentare deaktiviert für Drupal: Angriffe auf Admin-Accounts
Weiterlesen

Sicherheitsupdate für den Google-Browser Chrome

Mit der jetzt verfügbaren aktuellen Version 80.0.3987.132 von Googles Browser Chrome für Linux, macOS und Windows haben die Entwickler insgesamt vier Sicherheitslücken dicht gemacht. Kaum Informationen zu den Schwachstellen von Google Diesmal findet man In einem Beitrag von Google dazu kaum weiter gehende Details zu den einzelnen Schwachstellen. Darin erwähnen die Entwickler nur eine Lücke, die mit dem Angriffsrisiko "hoch" eingestuft wurde. Es wird auch nicht wirklich deutlich, welchen Schaden Angreifer nach einem erfolgreichen Angriff auf einem System anrichten können. Weitere Informationen zu den Schwachstellen hält Google aktuell noch zurück, damit potenzielle Angreifer so wenig Ansatzpunkte wie möglich bekommen und die Benutzer dadurch etwas mehr Zeit haben, die abgesicherte Version jetzt zügig zu installieren.

2020-03-05T13:28:31+02:00März 5th, 2020|Browser, Sicherheit|Kommentare deaktiviert für Sicherheitsupdate für den Google-Browser Chrome
Weiterlesen
Nach oben