Sicherheitswarnungen

03.06.2022

Update - Kritische Sicherheitslücke in Atlassian Confluence - Patches & Workarounds verfügbar

03. Juni 2022 Update: 07. Juni 2022, 13:50 Beschreibung Atlassian Confluence Server und Confluence Data Center weisen eine kritische Schwachstelle auf, die das Ausführen von beliebigem Code erlaubt. Die Sicherheitslücke wird bereits aktiv ausgenützt. CVE-Nummer: CVE-2022-26134 CVSS Base Score: Atlassian Security Level: Critical (entspricht CVSS Score 9.0-10.0) Auswirkungen Die Schwachstelle erlaubt entfernten, unauthentifizierten Angreifer:innen das Ausführen von beliebigem
31.05.2022

Remote Code Execution Schwachstelle in Microsoft Windows - Workarounds verfügbar

31. Mai 2022 Beschreibung Mehrere Microsoft Windows Versionen weisen eine Schwachstelle auf, die (zB in Verbindung mit Microsoft Office Produkten, aber möglicherweise auch durch Drittanwendungen) eine Remote Code Execution erlaubt. CVE-Nummer: CVE-2022-30190 CVSS Base Score: 7.8 Auswirkungen Angreifer:innen können durch Ausnützen der Schwachstelle beliebigen Code mit den Rechten des angemeldeten Benutzers ausführen und somit potentiell das gesamte System übernehmen. Da
19.05.2022

Kritische Authentication-Bypass Schwachstelle in mehreren VMware Produkten - Updates und Workarounds verfügbar

19. Mai 2022 Beschreibung Mehrere VMware Produkte weisen eine Schwachstelle auf, die das Umgehen der Authentifizierung des Management User-Interfaces erlaubt. CVE-Nummer: CVE-2022-22972 CVSS Base Score: 9.8 Die aktuellen Updates beheben außerdem die Schwachstelle CVE-2022-22973 (Local Privilege Escalation) mit einem CVSS Score von 7.8. Auswirkungen Angreifer:innen können durch Ausnützen der Schwachstelle ohne gültige Zugangsdaten auf erreichbare Management User-Interfaces z
21.04.2022

Sicherheitslücke in der Java-Implementation des Elliptic Curve Digital Signature Algorithm (ECDSA)

22. April 2022 Beschreibung Die Sicherheitslücke CVE-2022-21449 in der Java-Implementation des Elliptic Curve Digital Signature Algorithm (ECDSA) erlaubt das Erstellen von "leeren" digitalen Signaturen, die durch die Schwachstelle fälschlicherweise als echt interpretiert werden. CVE-Nummern: CVE-2022-21449 CVSS Base Score: 7.5 lt. Oracle, 10 lt. dem Entdecker des Bugs Auswirkungen Die Sicherheitslücke erlaubt es Angreifer:innen, beliebige Daten mit einer leeren Signatur zu verseh
16.03.2022

Sicherheitslücken mit Denial of Service-Potential in OpenSSL - Updates verfügbar

16. März 2022 Beschreibung Das OpenSSL Projekt hat eine Warnung zu potentiellen Endlosschleifen - und damit der Möglichkeit zu Denial of Service-Attacken - in OpenSSL herausgegeben und gleichzeitig entsprechende Updates veröffentlicht. Dies betrifft sowohl Clients als auch Server, die OpenSSL einsetzen. CVE-Nummer: CVE-2022-0778 Auswirkungen Angreifer können: Clients entsprechend präparierte Server-Zertifikate präsentieren, wodurch die Clients in eine Endlosschleif
15.03.2022

Kritische Sicherheitslücken in Veeam Backup & Replication und Veeam Agent - Updates verfügbar

16. März 2022 Beschreibung Veeam hat Updates zu kritischen Sicherheitslücken in Veeam Backup & Replication sowie Veeam Agent for Microsoft Windows herausgegeben. Veeam Backup & Replication Veeam Distribution Service Das Veeam Distribution Service (per Default auf tcp/9380) ist anfällig für Remote Code Execution. CVE-Nummern: CVE-2022-26500, CVE-2022-26501 CVSS v3 Score: 9.8 Veeam.Backup.PSManager.exe Die Komponente von Veeam Backup & Replication für Microsof
10.12.2021

Update#9 - Kritische 0-day Sicherheitslücke in Apache Log4j Bibliothek - Updates und Workarounds verfügbar

10. Dezember 2021 Update: 13. Dezember 2021, 12:40 Update: 13. Dezember 2021, 14:20 Update: 14. Dezember 2021, 10:40 Update: 14. Dezember 2021, 13:10 Update: 15. Dezember 2021, 11:00 Update: 17. Dezember 2021, 14:00 Update: 20. Dezember 2021, 09:00 Update: 23. Dezember 2021, 09:15 Update: 29. Dezember 2021, 11:15 Beschreibung Die populäre Open-Source Logging-Bibliothek Apache Log4j weist eine schwerwiegende 0-day-Sicherheitslücke auf, die sich durch simples Loggen eines speziellen Str
09.12.2021

Mehrere kritische Schwachstellen in SonicWall SMA 100 Series Appliances – Updates verfügbar

09. Dezember 2021 Beschreibung SonicWall hat ein Security-Advisory zu mehreren, zum Teil kritischen, Schwachstellen in Appliances der SMA 100 Serie veröffentlicht. Derzeit gibt es laut SonicWall keine Hinweise darauf, dass die Lücken bereits aktiv ausgenutzt werden. CVE-Nummern und CVSS Base Scores lt. SonicWall: CVE-2021-20038 (9.8): Ein Stack-based Buffer Overflow, der ohne vorherige Authentifizierung ausgenutzt werden kann und potentiell das Ausführen von beliebigen Befehlen m
06.10.2021

Update #2 - Wichtige Sicherheitslücke (CVE-2021-41773) in Apache HTTP Server 2.4.49 und 2.4.50 - RCE möglich, Updates und Workarounds verfügbar

6. Oktober 2021 Update: 07. Oktober 2021 Update: 08. Oktober 2021 Beschreibung Die vom Apache Team als "wichtig" eingestufte Path-Traversal-Lücke CVE-2021-41773 erlaubt potentiellen Angreifer:innen, auf Dateien und Verzeichnisse außerhalb des Document-Root-Verzeichnisses zuzugreifen, wenn der Schutzmechanismus require all denied nicht aktiv ist. CVE-Nummer: CVE-2021-41773 CVSS Base Score: tbd Update: 07. Oktober 2021 Die Schwachstelle kann das Ausführen von beliebigem Code mit d
22.09.2021

Kritische File-Upload Schwachstelle in VMware vCenter Server - Updates und Workarounds verfügbar

22. September 2021 Beschreibung VMware vCenter Server weist eine kritische Schwachstelle auf, die es Angreifer:innen ermöglicht, über das Netzwerk und ohne Authentifizierung beliebige Dateien auf den Server hochzuladen. Mit Hilfe von speziell präparierten Dateien können so beliebige Befehle auf dem Server ausgeführt werden. VMware geht davon aus, dass Exploits binnen kürzester Zeit öffentlich verfügbar sein werden und rät daher, die Updates oder Work