Heise Security Alerts

Sicherheitshinweise vom Heise Verlag.

• Sicherheitsupdate: Hartkodierter Schlüssel ermöglicht Zugriffe auf Apache OFBiz

  Apaches Entwickler haben in der Unternehmenssoftware OFBiz mehrere teilweise kritische Sicherheitslücken geschlossen.

• Node.js: Vier kritische Sicherheitslücken mit Höchstwertung in vm2 geschlossen

  Angreifer können abermals aus der Node.js-Sandbox vm2 ausbrechen und Schadcode im Hostsystem ausführen. Sicherheitsupdates schaffen Abhilfe.

• CMS Drupal: Hochkritisches Drupal-Core-Update für den 20. Mai angekündigt

  Für Drupal Core erscheint am Abend des Mittwochs, 20. Mai, ein dringendes Sicherheitsupdate. Admins sollten es zügig installieren.

• npm-Wurm Shai-Hulud: Angriff der Klone

  Die Malware-Autoren hinter dem npm-Wurm Shai-Hulud haben die Quelltexte veröffentlicht. Nun erscheinen die ersten Klone.

• BigBlueButton: Mehrere Sicherheitslücken geschlossen

  Mehrere Sicherheitslücken in BigBlueButton ermöglichen Angreifern, Netze auszuforschen oder sich als andere User auszugeben.

• Server-Admin-Tool: Angreifer können 2FA von Webmin umgehen

  Webmin ist über mehrere Sicherheitslücken angreifbar. Neben 2FA- sind auch root-Attacken möglich. Nun haben die Entwickler Sicherheitspatches veröffentlicht.

• NGINX: DoS-Lücke wird angegriffen

  In NGINX Open Source und NGINX Plus von F5 klaffen Sicherheitslücken. Eine wird bereits attackiert und führt zu DoS-Zuständen.

• PostgreSQL: Updates stopfen hochriskante Sicherheitslecks

  Mit neuen PostgreSQL-Releases schließen die Entwickler gleich mehrere Sicherheitslücken. Die sind teils hochriskant.

• HCL BigFix SCM Reporting sortiert verwundbare Komponente aus

  Ein Sicherheitspatch schließt eine Lücke in HCL BigFix SCM Reporting. Es kann zur Ausführung von Schadcode kommen.

• Microsoft Authenticator: Lücke ermöglicht unbefugten Zugriff

  Microsoft warnt vor einer Sicherheitslücke im Authenticator. Angreifer können Sign-in-Token abgreifen und damit Zugriff erlangen.