Sicherheitsupdate: Angriffe auf Drupal-Admins möglich

Weil Angreifer mit dem CMS Drupal erstellte Websites attackieren könnten, haben die Entwickler des Content Management Systems Drupal jetzt zwei Sicherheitslücken geschlossen, deren Risiko die Entwickler insgesamt  als "moderat kritisch" ein stufen. Die Probleme stecken im CKEditor Beiden Schwachstellen (CVE-2021-41164 "hoch", CVE-2021-41165 "mittel") stecken in dem in Drupal integrierten CKEditor. Allerdings sollen einer Warnmeldung zufolge aber nur solche Websites angreifbar sein, bei denen die CKEditor-Bibliothek für die WYSIWYG-Bearbeitung aktiviert ist. Ob das standardmäßig so eingestellt ist, geht aus der Meldung leider nicht hervor. In einem so eingestellten System könnten Angreifer Inhalte erstellen oder verändern. Außerdem ist es denkbar, dass etwa Admins ins Visier von XSS-Angriffen geraten. Die bereinigten Versionen Die Drupal-Versionen 8.9.20, 9.1.14 und 9.2.9 sind jetzt gegen solche Angriffe abgesichert worden. Für 9er-Versionen vor 9.1.x ist der Support inzwischen ausgelaufen und es gibt keine Sicherheitsupdates mehr. Für Drupal 8 ist es der letzte Sicherheitspatch.  Weil Drupal 7 den CKEditor nicht benutzt, ist diese Version insgesamt nicht von dem Problem betroffen.

2021-11-19T18:13:23+02:00November 19th, 2021|CMS, Sicherheit|Kommentare deaktiviert für Sicherheitsupdate: Angriffe auf Drupal-Admins möglich
Weiterlesen

Google Chrome 96: Update bringt viele Verbesserungen

Weil Google den Releasezyklus für seinen Browser Chrome inzwischen auf vier Wochen verkürzt hat, ist mit Chrome 96 schon wieder eine frische Major-Version verfügbar. Das Update bringt viele Verbesserungen und Fehlerbehebungen mit, beseitigt aber auch mehrereSicherheitslücken. Die neue Version 96.0.4664.45 sollten alle Nutzerinnen und Nutzer unter Windows, macOS und Linux deshalb möglichst umgehend einspielen. Die Stabilitätsverbesserungen Weil das Update ganz neu ist, hat Google  die offiziellen Versionshinweise noch nicht veröffentlicht. Beim Start von Version 96 am 15. November 2021 in den Betatest kündigte Google aber schon an, dass das Update vor allem Stabilitäts- und Performanceverbeserungen bringt, die der Konzern im Chromium Log auflistet. Neben jeder Menge an Bugfixes und technischen Verbesserungen kommen mit dem Update auch wieder einige Sicherheit-Patches. Diese beschreibt Google generell aber erst später, damit Chrome-Nutzer ihren Browser vorher rechtzeitig per Update absichern können. Aktualisieren auf Chrome 96 Weil Google darauf hingewiesen hat, dass die Verteilung des Updates mehrere Tage und Wochen in Anspruch nimmt, sollten Sie darüber nachdenken, das Chrome-Update manuell zu starten: Klicken Sie auf die drei Punkte oben rechts. Klicken Sie auf Hilfeund anschließend Über Google Chrome. Chrome sucht dann nach Updates. Wenn eines verfügbar ist, aktualisiert sich der Browser automatisch. Klicken Sie auf Neu starten.

2021-11-16T10:25:36+02:00November 16th, 2021|Browser, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Google Chrome 96: Update bringt viele Verbesserungen
Weiterlesen

Chrome95-Update beseitigt mehrere Sicherheitslücken

Kurz nach der Veröffentlichung einer neuen Hauptversion wurden schon Sicherheitsupdates nachgeliefert. Von mehreren der geschlossenen Sicherheitslücken ging ein hohes Risiko aus. Die Chrome-Entwickler haben am gestrigen Dienstag die Version 95 des Google-Browsers für Linux, Windows und macOS veröffentlicht. In ihrer Ankündigung wiesen Sie dabei auf mehrere Schwachstellen hin, die jetzt mit der Aktualisierung auf Chrome 95.0.4638.54 beseitigt wurden. Fünf der Schwachstellen sollen ein hohes Risiko aufweisen, und die übrigen wurden mit "Low" bis "Medium" eingestuft. Insgesamt bringt das Update laut Google 19 Security-Fixes mit. Es soll in den nächsten Tagen und Wochen an bestehende Browser-Installationen verteilt werden. Wie üblich nennt Google dabei kaum Details zu den Schwachstellen oder den Möglichkeiten, sie auszunutzen. Um zusätzliche Angriffe zu vermeiden, gibt es nähere Informationen erst, wenn die meisten Nutzer das Update schon erhalten haben. Was das Update sonst noch bringt Außer der verbesserten Sicherheit bringt die neue Chrome-Version auch einige funktionale Neuerungen, die Google in Kürze in Einträgen in den Chrome- und Chromium-Blogs zusammenfassen will. Unter anderem wurde mit Chrome 95 die Unterstützung des unsicheren und kaum noch genutzten File Transfer Protocol (FTP) endgültig eingestellt und der entsprechende Code aus dem Browser entfernt. Neuerungen, die Chrome 95 für Entwickler bringt, zeigt die Übersichtsseite "What's New In DevTools". Auch für mobile Geräte stehen Chrome 95-Varianten [...]

2021-10-21T07:35:23+02:00Oktober 20th, 2021|Browser, Coding, Sicherheit|Kommentare deaktiviert für Chrome95-Update beseitigt mehrere Sicherheitslücken
Weiterlesen

Kritische Sicherheitslücke in PostgreSQL geschlossen

Für die beliebte Open-Source-Datenbank PostgreSQL gibt wurde gerade ein wichtiges Sicherheitsupdate veröffentlicht, das eine Rechte-Lücke schließt. Details zu der Sicherheitslücke Potentielle Angreifer könnten Systeme mit dem freien Datenbank-Managementsystem PostgreSQL attackieren und sich damit höhere Nutzerrechte verschaffen. Ein Sicherheitspatch dagegen steht jetzt zum Download bereit. Die Sicherheitslücke (CVE-2021-38140) gilt als "kritisch". In der Warnmeldung dazu geben die Entwickler an, die Schwachstelle im set_user-Extension-Modul 2.0.1 jetzt geschlossen zu haben. Um sich über die Schwachstelle höhere Rechte zu verschaffen, mussten Angreifer über den Aufruf der set_user()-Funktion einen Reset-Session-Authorization-Zustand auslösen, was durch das Update nun blockiert sein soll. Details zur Absicherung von PostgreSQL Wie solche Angriffe genau ablaufen könnten, ist aktuell aus verständlichen Gründen noch nicht beschrieben worden. Wegen der kritischen Einstufung der Rechte-Lücke sollten verantwortliche Admins in PostgreSQL-Installationen auf ihren Homepages zeitnah das Update einspielen. Wie man das genau macht, kann man auf Github nachlesen.

2021-08-31T10:28:49+02:00August 31st, 2021|MySQL, Sicherheit|Kommentare deaktiviert für Kritische Sicherheitslücke in PostgreSQL geschlossen
Weiterlesen

Update gegen kritische Sicherheitslücke im Wiki Confluence

Wer auf seiner Homepage die Wiki-Software Confluence von Atlassian selbst hostet, sollte jetzt dringend ein Update einspielen, denn in der Wiki-Software wurde eine Sicherheitslücke gefunden, die es Angreifern gestattet, eigenen Code auf den Servern auszuführen. Patches und Updates stehen bereit Der Hersteller Atlassian stellt für mehrere Versionen Patches und Updates bereit. Es sind aber nur die Nutzer von selbst gehosteten Confluence-Servern betroffen, die Cloud-Variante weist die Sicherheitslücke nicht auf. Die Lücke wurde in den Versionen 6.13.23, 7.4.11, 7.11.6, 7.12.5 und 7.13.0 geschlossen. Atlassian empfiehlt zwar den Einsatz der aktuellen Long-Time-Support-Version 7.13.0-, weiß aber auch, dass ein direktes Upgrade darauf nicht von allen Versionen aus möglich ist. Manche Unternehmen können auch im Betrieb befindliche Software nicht sofort mit einem Update härten. Deshalb gibt es als Übergangslösung vom Hersteller ein Script, dass von Admins genutzt werden kann, um die Lücke zunächst einmal schnell temporär zu schließen. Details dazu finden Sie auf Atlassians Seite zu dem Bug. Die Sicherheitslücke steckt in der OGNL-Implementierung Bei der Sicherheitlücke ist letztlich ein Fehler in der Object-Graph Navigation Language (OGNL), der dazu führt, dass beliebiger Code auf dem Server ausgeführt werden kann. Zwar ist in den meisten Fällen zur Ausnutzung der Lücke eine Authentifizierung nötig, aber in Ausnahmefällen gibt es diese Einschränkung nicht. Die Lücke [...]

2021-08-26T17:32:29+02:00August 26th, 2021|Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Update gegen kritische Sicherheitslücke im Wiki Confluence
Weiterlesen

Update für Browser Chrome beseitigt Sicherheitslücken

Google hat soeben für die Desktop-Fassungen des Chrome-Browsers eine Aktualisierung online gestellt, die mehrere Sicherheitslücken beseitigt. Die stabile Version des Google-Browsers Chrome für Windows, Linux und macOS wurde auf die Version 92.0.4515.159 angehoben. Die Entwickler beseitigten im Code mit insgesamt neun Patches sieben von externen Forschern gemeldete Schwachstellen. Das von allen diesen Schwachstellen ausgehende Sicherheitsrisiko wurde als „hoch“ eingestuft. Wie üblich gibt Google in seinem Advisory zum Stable Channel Update kaum Details zu den Schwachstellen an - die werden ja in der Regel erst dann veröffentlicht, wenn die meisten Nutzer das Update installiert haben. Dadurch soll das Risiko aktiver Angriffe auf noch ungeschützte Systeme kleiner gehalten werden. Dieses Mal enthält das Advisory auch keine Hinweise auf Angriffe, die schon übers Netz laufen. Die Sicherheits-Updates sollen wie immer in den kommenden Tagen und Wochen über das Auto-Update verteilt werden. Wer aktiv nach den Updates suchen möchte, kann kann das über den Menüpunkt "Hilfe"-> "Über Google Chrome" tun. Hier eine Kurzanleitung: Klicken Sie ganz oben rechts auf die drei Punkte, um das Menü zu öffnen. Wählen Sie in dem Menü den Punkt "Hilfe" aus. Es öffnet sich ein Untermenü. Hier klicken Sie "Über Google Chrome" an. In "Über Google Chrome" wird automatisch nach aktuellen Updates gesucht. Wenn das Update verfügbar ist, wird es [...]

2021-08-17T17:53:24+02:00August 17th, 2021|Browser, Sicherheit|Kommentare deaktiviert für Update für Browser Chrome beseitigt Sicherheitslücken
Weiterlesen

Updates beseitigen Sicherheitslücken in IBMs Datenbank DB2

Das IBM-Datenbanksystem Db2 ist verwundbar, und böswillige Angreifer könnten Systeme attackieren und zum Beispielk unberechtigt auf Daten zugreifen oder Dateien überschreiben. Deshalb sind jetzt wichtige Sicherheitsupdates für IBM Db2 erschienen: Die dagegen abgesicherten Versionen schaffen Abhilfe. Unter anderem sind die Db2-Versionen V9.7, V10.1, V10.5, V11.1 und V11.5 auf den Systemen AIX, HP-UX, Linux, Solaris und Windows von den Problemen betroffen. Select-Statements legen DB2 lahm Als am gefährlichsten gilt dabei die mit dem Bedrohungsgrad „hoch“ eingestufte Sicherheitslücke mit der Kennung CVE-2021-29703. Darüber könnte ein Angreifer Datenbankserver durch simples Ausführen von präparierten SELECT-Statements lahmlegen. Wenn Angreifer erfolgreich an den anderen Schwachstellen ansetzen, könnte ein authentifizierter Angreifer über die Lücke CVE-2021-4945 mit Bedrohungsgrad „mittel“ Dateien überschreiben. Auch ein unberechtigter Zugriff auf die Db2-Konfiguration istüber die Lücke CVE-2021-4885 mit Bedrohungsgrad „mittel“ vorstellbar. Das erfolgreiche Ausnutzen der weiteren Lücke CVE-2021-20579 mit Bedrohungsgrad „mittel“) könnte zur Offenlegung von Informationen führen, und die letzte der aktuellen Schwachstelle CVE-2021-29777 mit Bedrohungsgrad „mittel“ könnte den Weg zu einer DoS-Attacke bereiten.

2021-06-27T22:52:40+02:00Juni 27th, 2021|MySQL, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Updates beseitigen Sicherheitslücken in IBMs Datenbank DB2
Weiterlesen

Update gegen Angriffe auf den Browser Chrome

Wer mit Googles Browser Chrome im Internet unterwegs ist, sollte diesen zeitnah auf den aktuellen Stand bringen. Macht er das nicht, könnten Angreifer seinen Rechner attackieren. Für eine der Lücken soll es schon einen Exploit-Code geben, weshalb Angriffe mit hoher Wahrscheinlichkeit kurz bevorstehen. Es gibt schon einen Exploit Inzwischen hat Google  dagegen die abgesicherte Version Chrome 91.0.4472.101 für Android, Linux, macOS und Windows herausgegeben. Nach einer Warnmeldung ist der kursierende Exploit auf eine bestimmte Sicherheitslücke (CVE-2021-30551, "hoch") zugeschnitten. Der Fehler ausgenutzte steckt in der JavaScript-Implementierung V8 des Browsers. Hier könnten Angreifer ansetzen und einen Type Confusion-Speicherfehler auslösen. Das führt in der Regel dazu, dass letztlich Schadcode auf den angegriffenen Computer gelangt. Remote Code Execution möglich Mit dem aktuellen Update haben die Entwickler um 14 Sicherheitsprobleme beseitigt. Die meisten der Schwachstellen wurden mit dem Bedrohungsgrad "hoch" eingestuft. Eine Lücke (CVE-2021-30544) in BFCache gilt sogar als "kritisch". Die kurze Beschreibung lässt auf einen Speicherfehler vom Typ „use after free“ mit anschließender Ausführung von Schadcode schließen. In den letzten Monaten hat Google Google schon mehrfach bereits von Angreifern ausgenutzte Lücken in seinem Browser schließen müssen.

2021-06-10T16:34:44+02:00Juni 10th, 2021|Browser, Sicherheit|Kommentare deaktiviert für Update gegen Angriffe auf den Browser Chrome
Weiterlesen

Ein Update gegen die aktuellen Chrome-Abstürze

Ein gravierendes Problem mit dem Google-Browser Chrome sorgt aktuell offenbar unter bestimmten Umständen für den Absturz des Programms. Das Verhalten belegen viele Berichte von Nutzern in Sozialen Netzwerken und auch im Chrome-Support-Forum. Einige Details zu den Abstürzen des Browsers Das Problem kommt in der aktuellen Browser-Version Chrome 90 sowohl unter Windows 10 als auch unter Linux auf. Unter MacOS sind bisher noch keine Berichte von solchen Problemen aufgetaucht. Die genaue Ursache für die Abstürze des Google-Browsers sind laut den Forumsbeiträgen nicht direkt zu erkennen, weshalb dieser Fehler auch nur schwer reproduziert werden kann. Auf Reddit liest man dazu: "Scheinbar aus dem Nichts hat Google Chrome vor rund 15 Minuten aufgehört zu funktionieren. Meine Erweiterungen sind abgestürzt und alle Seiten, einschließlich Chrome-Seiten wie Einstellungen, können nicht geladen werden. Der Bildschirm ist vollständig leer und der Tab einfach mit 'Untitled' gekennzeichnet, daneben befindet sich ein stirnrunzelnder Ordner." Außer abgestürzten Erweiterungen und Tabs ohne Titel, deren Webinhalte nicht laden wollen, kann es dabei auch passieren, dass der Browser nach einem Komplettabsturz nicht mehr korrekt starten will. Für Betroffene hat ein Produkt-Experte von Google im Support-Forum von Chrome einen Workaround für das Problem veröffentlicht, aus dem man erkennen kann, dass das Problem einen Zusammenhang mit dem lokalen Ordner für Nutzerdaten hat, [...]

2021-05-23T10:15:06+02:00Mai 23rd, 2021|Browser, Webwerkzeuge|Kommentare deaktiviert für Ein Update gegen die aktuellen Chrome-Abstürze
Weiterlesen

Update: Thunderbird 78.10.2 bringt neue Funktionen

Mozilla hat aktuell per Update wieder neue Funktionen für seinen Emailclient Thunderbird verteilt: Nachdem Mozilla in seinem Email-Programm  Thunderbird in letzter Zeit eigentlich fast nur Fehler und Sicherheitslücken ausbügelte, bringt das neueste Update auf Thunderbird 78.10.2 jetzt gleich zwei neue Funktionen. Da Mozilla damit aber auch Bugs und Schwachstellen beseitigt, handelt es sich für alle Thunderbird-Benutzer auch dabei um ein Pflichtupdate. Zwei neue Funktionen in Thunderbird Wie Mozilla in seinen Versionshinweisen zum Update informiert, bringt das Update auf Version 78.10.2 zwei neue Funktionen mit. Danach lassen sich OpenPGP-Schlüssel jetzt auch ohne einen primären, geheimen Schlüssel in Thunderbird importieren. Außerdem zeigt die Add-ons-Verwaltung jetzt ein Einstellungssymbol für derartige Erweiterungen an, die auch ein Optionsmenü enthalten. Wer seinen Thunderbird auf den neusten Stand bringen will, wählt im 3-Striche-Menü unter Hilfe die Option Über Thunderbird, klickt gegebenenfalls auf Update auf Version 78.10.2 durchführen und starten das Programm dann neu. Fehlerbereinigung Mit Thunderbird 78.10.2 behoben die Entwickler auch wieder mehrere Probleme. Beispielsweise ließen sich unter anderem mit der Vorversion chiffrierte E-Mails mit einer mehr als zehnfachen Komprimierung nicht entschlüsseln und markierte OpenPGP-Schlüssel gingen nach der Anzeige der jeweiligen Optionen einfach verloren. Darüber hinaus wurden auch zwei "leichte" Sicherheitslücken geschlossen. Alle Details zum Update auf Thunderbird 78.10.2 finden Sie in den Versionshinweisen und im Sicherheitsbericht.

2021-05-19T10:35:59+02:00Mai 19th, 2021|Allgemein, Coding, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Update: Thunderbird 78.10.2 bringt neue Funktionen
Weiterlesen
Nach oben