Die zu eBay gehörige Online-Shop-Software Magento hat mit einem Patch kritische Sicherheitslücken geschlossen. Über eine davon können unangemeldete Angreifer aus der Ferne beliebigen Schadcode ausführen und den Shop samt Kundendaten kapern.
Posts Tagged: sicherheitslücke
Eine Lücke ist kritisch, sechs weitere werden von den Entwicklern als „moderat kritisch“ eingeschätzt. Betroffen sind Drupal 7 und 8. Auch Drupal 6 wird ein letztes Mal gepatcht.
Linux ist fast überall und dementsprechend verbreitet ist auch die glibc, die in älteren Versionen angreifbar ist. Sicherheits-Updates gibt es unter anderem von Zyxel, VMware und Citrix, andere geben Entwarnung.
Seit einem Jahr stopfen viele Admins eine kritische Lücke im Online-Shop-CMS Magento nicht. Jetzt tun die Hacker so, als sei der entsprechende Patch auf dem Server eingespielt – indem sie ihre Hintertür als eben jenen Patch tarnen.
Eine schwerwiegende Sicherheitslücke klafft in der Glibc-Bibliothek, die in fast allen Linux-Systemen genutzt wird: Eine DNS-Funktion erlaubt die Ausführung von bösartigem Code. Nutzer sollten schnellstmöglich Updates installieren. (Sicherheitslücke, Google)
Die bislang größte Sicherheitsptach-Sammlung von Oracle ist da und fixt Lücken in Database, Java, MySQL und Co. Dieses Mal steht Oracles E-Business Suite im Mittelpunkt.
Die automatischen Updates von Drupal können so manipuliert werden, dass recht leicht Malware eingeschleust werden kann. Bekannt ist dies wohl schon seit Jahren, Lösungen dafür werden nun erneut diskutiert. (Drupal, CMS)
Sicherheitslücken in Unternehmen sind nicht zu unterschätzen, gerade vor dem Hintergrund, dass zwei von drei Unternehmen ihre Anwendungen nicht auf kritische Schwachstellen hin überprüfen. Hier kommt …
Auf den Installationsimages für Server der Firma Hetzner fanden sich für mehrere Monate vorinstallierte SSH-Keys. Die betroffenen Server sind somit für Man-in-the-Middle-Angriffe anfällig. (OpenSSH, Netzwerk)
Die Zwangsrouter von Vodafone Kabel haben vermutlich über Jahre hinweg eklatante Schwachstellen gehabt, die für Spionagezwecke ausgenutzt werden konnten. Der Hacker Alexander Graf will auf dem 32C3 in Hamburg weitere Details zu dem Hack vorstellen. (Sicherheitslücke, VoIP)