[UPDATE] [hoch] OpenClaw: Schwachstelle ermöglicht Codeausführung
Ein lokaler Angreifer kann eine Schwachstelle in OpenClaw ausnutzen, um beliebigen Programmcode auszuführen.
0
Anzahl der Newsfeeds
Newsfeed bereitgestellt von BUND/Cert: https://wid.cert-bund.de
[NEU] [mittel] NCP Secure Enterprise Management: Schwachstelle ermöglicht Erlangen von Administratorrechten
Ein lokaler Angreifer kann eine Schwachstelle in NCP Secure Enterprise Management ausnutzen, um seine Berechtigungen auf Root-Ebene zu erweitern und uneingeschränkten Zugriff auf das betroffene System zu erhalten.
[NEU] [mittel] Microsoft Edge (Android): Schwachstelle ermöglicht Darstellen falscher Informationen
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Microsoft Edge ausnutzen, um UI-Spoofing durchzuführen, was zur Offenlegung vertraulicher Informationen oder zur Änderung von Daten führen kann.
[NEU] [UNGEPATCHT] [mittel] NetApp ActiveIQ Unified Manager (Infinispan): Schwachstelle ermöglicht Offenlegung von Informationen
Ein lokaler Angreifer kann eine Schwachstelle in NetApp ActiveIQ Unified Manager ausnutzen, um Informationen offenzulegen.
[NEU] [hoch] IBM WebSphere Service Registry and Repository: Schwachstelle ermöglicht nicht spezifizierten Angriff
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in IBM WebSphere Service Registry and Repository ausnutzen, um einen nicht näher spezifizierten Angriff durchzuführen.
[NEU] [hoch] BeyondTrust Privileged Remote Access und Remote Support: Schwachstelle ermöglicht nicht spezifizierten Angriff
Ein Angreifer kann eine Schwachstelle in BeyondTrust Privileged Remote Access und BeyondTrust Remote Support ausnutzen, um einen nicht näher spezifizierten Angriff durchzuführen.
[NEU] [hoch] Kubernetes (ingress-nginx): Schwachstelle ermöglicht Codeausführung und Offenlegung von Informationen
Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in Kubernetes ausnutzen, um beliebigen Programmcode auszuführen und vertrauliche Informationen offenzulegen.
[NEU] [hoch] Microsoft Azure Functions, Front Door und ARC: Mehrere Schwachstellen
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Microsoft Azure Functions, Front Door und ARC ausnutzen, um seine Privilegien zu erhöhen und vertrauliche Informationen offenzulegen.
[NEU] [mittel] Asterisk: Mehrere Schwachstellen
Ein Angreifer kann mehrere Schwachstellen in Asterisk ausnutzen, um einen Cross-Site Scripting Angriff durchzuführen, beliebigen Code mit Root-Rechten auszuführen, erweiterte Privilegien zu erlangen, Daten zu manipulieren oder vertrauliche Informationen offenzulegen.
[NEU] [mittel] IBM App Connect Enterprise Certified Container: Mehrere Schwachstellen
Ein Angreifer kann mehrere Schwachstellen in IBM App Connect Enterprise Certified Container ausnutzen, um beliebigen Programmcode auszuführen, einen Denial-of-Service-Zustand zu verursachen, die Authentifizierung zu umgehen, vertrauliche Informationen zu manipulieren oder offenzulegen.
[UPDATE] [mittel] 7-Zip: Mehrere Schwachstellen
Ein entfernter anonymer Angreifer kann mehrere Schwachstellen in 7-Zip ausnutzen, um Dateien zu manipulieren oder vertrauliche Informationen offenzulegen.
[NEU] [hoch] Red Hat Self-service automation portal for Ansible Automation Platform: Schwachstelle ermöglicht Manipulation von Dateien
Ein entfernter, anonymer Angreifer kann eine Schwachstelle im Red Hat Self-Service-Automatisierungsportal für die Integration der Ansible Automation Platform ausnutzen, um Daten zu manipulieren und so weitere Angriffe durchzuführen – darunter Rechteausweitung, Codeausführung oder das Auslösen eines Denial-of-Service-Zustands.
[UPDATE] [mittel] docker: Schwachstelle ermöglicht Umgehen von Sicherheitsvorkehrungen
Ein lokaler Angreifer kann eine Schwachstelle in docker ausnutzen, um Sicherheitsvorkehrungen zu umgehen.
[UPDATE] [hoch] Oracle Communications: Mehrere Schwachstellen
Ein entfernter, anonymer oder authentisierter Angreifer kann mehrere Schwachstellen in Oracle Communications ausnutzen, um die Vertraulichkeit, Integrität und Verfügbarkeit zu gefährden.
[UPDATE] [mittel] Golang Go: Schwachstelle ermöglicht Offenlegung von Informationen
Ein Angreifer kann eine Schwachstelle in Golang Go ausnutzen, um Informationen offenzulegen.
[NEU] [mittel] Red Hat Build of Quarkus: Mehrere Schwachstellen
Ein entfernter, authentisierter oder anonymer Angreifer kann mehrere Schwachstellen in Red Hat Enterprise Linux ausnutzen, um einen Denial of Service Angriff durchzuführen, vertrauliche Informationen offenzulegen oder Daten zu manipulieren.
[NEU] [mittel] TeamViewer: Schwachstelle ermöglicht Umgehen von Sicherheitsvorkehrungen
Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in TeamViewer ausnutzen, um Sicherheitsvorkehrungen zu umgehen.
[NEU] [mittel] pgAdmin: Schwachstelle ermöglicht Offenlegung von Informationen
Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in pgAdmin ausnutzen, um Informationen offenzulegen.
[NEU] [mittel] F5 BIG-IP: Mehrere Schwachstellen
Ein Angreifer kann mehrere Schwachstellen in F5 BIG-IP ausnutzen, um Informationen offenzulegen, falsche Informationen darzustellen oder einen Denial of Service zu verursachen.
[NEU] [mittel] Autodesk 3ds Max: Mehrere Schwachstellen ermöglichen Codeausführung
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Autodesk 3ds Max ausnutzen, um beliebigen Programmcode auszuführen.
0
Anzahl der Feeds in »IT-Security«
Newsfeed bereitgestellt von golem.de: http://www.golem.de
Anzeige: LDAP als Basis für Identitätsmanagement
LDAP-Verzeichnisdienste sind die Basis für Authentifizierung und zentrale Benutzerverwaltung. Ein dreitägiger Live-Remote-Workshop vertieft Grundlagen und Set-ups. (Golem Karrierewelt, Identitätsmanagement)
Unified CM und mehr: Hacker attackieren Cisco-Systeme über Zero-Day-Lücke
Admins sollten zügig handeln. In mehreren Cisco-Produkten klafft eine gefährliche Sicherheitslücke. Erste Attacken wurden bereits beobachtet. (Sicherheitslücke, Cisco)
Pwn2Own Automotive: Hacker hacken Tesla, EV-Lader und mehr
Teilnehmer der Pwn2Own Automotive in Tokio haben an nur einem Tag über 500.000 US-Dollar gewonnen. Geknackt wurden Systeme von Tesla, Autel, Sony und mehr. (Sicherheitslücke, Elektroauto)
Support-Mails ohne Ende: Riesige Spam-Welle von Zendesk flutet E-Mail-Postfächer
Angreifer missbrauchen Zendesk-Instanzen, um massenhaft Spam-Mails zu verschicken. Betroffene empfangen teils Hunderte E-Mails in nur einer Stunde. (Spam, E-Mail)
Anzeige: Keycloak als zentrale IAM-Plattform
Keycloak liefert zentrale Authentifizierung und Rollenmodelle als Open-Source-IAM – integrierbar in bestehende Umgebungen. (Golem Karrierewelt, Server-Applikationen)
GSMA: Mobilfunkbetreiber lehnen Huawei-Verbot in EU ab
Die GSMA hat sich gegen ein Verbot chinesischer 5G-Mobilfunktechnik in der EU gewandt. Die Kosten dürften die Bevölkerung erheblich belasten. (5G, Huawei)
München: Datenschützer gehen fotografierende Falschparker-Melder an
Wer Falschparker vor Schulen fotografiert und meldet, soll künftig eine Internetseite betreiben und IT-Sicherheitsnachweise erbringen. (Datenschutz, Security)
Elektronische Patientenakte: Gesundheitsdaten werden vor Beschlagnahme geschützt
Ermittler kommen künftig leichter an elektronische Beweismittel aus anderen EU-Ländern. Dazu soll jedoch nicht die elektronische Patientenakte gehören. Ein Bericht von Friedhelm Greis (Elektronische Patientenakte, Datenschutz)
(g+) Praxisleitfaden: NIS 2 für KMU clever umsetzen
Statt zusätzlicher Last bietet die neue Richtlinie NIS 2 vor allem kleineren Unternehmen eine große Chance auf strukturelle Resilienz. Ein Ratgebertext von Otto Geißler (Nis 2, Security)
Investition in KI-Tools: Russland will noch härter gegen VPN-Anbieter durchgreifen
Die russische Regierung investiert mehr als zwei Milliarden Rubel in den Kampf gegen VPN-Anbieter. KI soll künftig bei der Blockade helfen. (Russland, KI)
Patchday geht schief: Neue Windows-Updates lassen allerhand Apps einfrieren
Seit dem Januar-Patchday hängt sich Outlook bei einigen Anwendern immer wieder auf. Jetzt gesteht Microsoft: Auch andere Apps sind betroffen. (Windows, Microsoft)
Anzeige: Souveräne Cloud-Strategien mit STACKIT
Digitale Souveränität in der Cloud: Ein Live-Workshop ordnet STACKIT ein und zeigt zentrale Plattformfunktionen in typischen Szenarien. (Golem Karrierewelt, Server-Applikationen)
Jetzt abschalten: Zehn Jahre alte Telnetd-Lücke macht jeden Client zum Root
Seit 2015 kann sich über Telnetd jeder Client einen Root-Zugriff verschaffen. Einen Patch gibt es zwar, empfohlen wird jedoch die Abschaltung. (Sicherheitslücke, Server-Applikationen)
Künstliche Intelligenz: OpenAI führt Altersschätzung für ChatGPT ein
OpenAI rollt ein Modell zur Altersschätzung aus, um Minderjährige vor schädlichen Inhalten wie Gewalt oder Erotik zu schützen. (ChatGPT, KI)
Digitalkommissarin: Nutzer sollen den Ausbau von Huawei im 5G-Netz bezahlen
EU-Digitalkommissarin Henna Virkkunen hat ihren Vorschlag für ein EU-Cybersicherheitsgesetz vorgelegt. Bezahlen sollen die umstrittene Maßnahme die Mobilfunkkunden. (Huawei, Mobilfunk)
TP-Link: Admin-Konten zahlloser Überwachungskameras knackbar
Wer eine Überwachungskamera von TP-Link hat, sollte zügig die Firmware aktualisieren. Eine Sicherheitslücke verleiht Angreifern Admin-Zugriff. (Sicherheitslücke, Kameras)
Anzeige: Erste Schritte nach Security Incidents
Wenn ein Sicherheitsvorfall erkannt wird, zählen saubere Abläufe: Lagebild erstellen, Schaden begrenzen, Beweise sichern und Kommunikation dokumentieren – ohne den Betrieb unnötig zu gefährden. (Golem Karrierewelt, Server-Applikationen)
Opt-out erforderlich: Starlink nutzt Kundendaten für KI-Training
SpaceX hat die Datenschutzrichtlinien für Starlink überarbeitet und sammelt nun Nutzerdaten für das Training von KI-Modellen. (Starlink, KI)
Cloud-Zwang ade: Alle E-Scooter eines insolventen Herstellers geknackt
Der Hersteller Äike hatte die Kommunikation zwischen E-Scooter und App mit einem geheimen Schlüssel gesichert. Doch so geheim ist der gar nicht gewesen. (Sicherheitslücke, Bluetooth)
Autotype: Windows-11-Update macht beliebte Keepass-Funktion kaputt
Seit dem Januar-Patchday kann Keepass in einigen Windows-Dialogen keine Zugangsdaten mehr per Autotype einfügen. Ein Fix ist nicht zu erwarten. (Passwortmanager, Microsoft)