Sicherheitswarnungen

04.11.2020

Kritische RCE Schwachstelle in Oracle WebLogic Server

04. November 2020 Beschreibung Mehrere Versionen des Oracle WebLogic Servers weisen eine via HTTP(S) ausnutzbare Remote Code Execution (RCE) auf. Für einen Angriff ist keinerlei Authentifikation nötig. Weitere Details gehen aus dem öffentlichen Oracle Advisory nicht hervor. Laut Oracle steht die Lücke jedoch mit der im Oktober geschlossenen Lücke CVE-2020-14882 in Verbindung, bei der es sich ebenfalls um eine RCE via HTTP(S) handelt und für die bereits (mindestens)
11.09.2020

Kritische Sicherheitslücke in Microsoft Exchange Server - Patches verfügbar

11. September 2020 Beschreibung Microsoft hat zum Patch Tuesday ein Advisory zu einer kritischen Sicherheitslücke in Microsoft Exchange Server veröffentlicht, bei der unter bestimmten Voraussetzungen das Ausführen von beliebigem Code ermöglicht wird. Proof-of-Concept-Code wurde bereits veröffentlicht. CVE-Nummern: CVE-2020-16875 CVSS Base Score: 8.4 Auswirkungen Eine unzureichende Validierung im New-DlpPolicy cmdlet von MS Exchange Server erlaubt aktiven User-Accounts m
15.07.2020

Kritische Sicherheitslücke in Microsoft Windows DNS Server - Patches und Workarounds verfügbar

15. Juli 2020 Beschreibung Microsoft hat zum Patch Tuesday zeitgleich mit den zugehörigen Patches ein Advisory zu einer kritischen Sicherheitslücke in Microsoft Windows DNS Server veröffentlicht, bei der DNS-Anfragen fehlerhaft verarbeitet werden. CVE-Nummer: CVE-2020-1350 CVSS Base Score: 10.0 Auswirkungen Ein erfolgreicher Angriff ermöglicht AngreiferInnen potentiell das Ausführen von beliebigem Code mit System-Rechten und kann möglicherweise zu einer vollst
14.07.2020

Kritische Sicherheitslücke in SAP NetWeaver AS Java - Patches verfügbar

14. Juli 2020 Beschreibung SAP hat einen Patch zur Behebung einer kritischen Sicherheitslücke in der Komponente LM Configuration Wizard des SAP NetWeaver Application Server Java veröffentlicht. CVE-Nummern: CVE-2020-6287 CVSS Base Score: 10.0 Auswirkungen Ein erfolgreicher Angriff ermöglicht entfernten, unauthentifizierten AngreiferInnen potentiell das Anlegen eines SAP-Benutzers mit maximalen Zugriffsrechten sowie das Ausführen von Befehlen mit den Rechten des SAP-Service-A
01.07.2020

Kritische Sicherheitslücke in F5 BIG-IP - Patches und Workarounds verfügbar

1. Juli 2020 Beschreibung Der Hersteller F5 hat ein Security Advisory zu einer kritischen Lücke im Traffic Management User Interface (TMUI/Configuration Utility) seines Produkts BIG-IP veröffentlicht. CVE-Nummer: CVE-2020-5902 CVSSv3 Score: 10.0 (laut F5) Auswirkungen Durch Ausnützen der Lücke kann laut F5 ein Angreifer mit Zugriff auf das TMUI beliebige Systembefehle sowie Java-Code ausführen, Dateien erstellen oder löschen und Services deaktivieren. Ein erfolgrei
23.04.2020

Update - Kritische Sicherheitslücke in Apple Mail App (MobileMail/Maild) für iOS

23. April 2020 Update: 25. Mai 2020 Beschreibung Das IT-Security Unternehmen ZecOps hat Informationen zu Schwachstellen in der Standard Mail App für Apple iOS (IPhone, IPad etc.) veröffentlicht, für die es noch keine breit verfügbaren Patches gibt. Die Schwachstellen werden zumindest in gezielten Angriffen bereits seit 2018 aktiv ausgenützt. Auswirkungen Durch erfolgreiches Ausnützen der Schwachstelle ist es Angreifern prinzipiell möglich, beliebigen Code auf
24.03.2020

Kritische Sicherheitslücke in Microsoft Windows (Adobe Type Manager Library) - Workarounds verfügbar

24. März 2020 Beschreibung Microsoft hat außerhalb des monatlichen Patch-Zyklus ein Security Advisory für eine kritische Sicherheitslücke in der Adobe Type Manager Library veröffentlicht. Laut Microsoft und CERT/CC wird die Schwachstelle bereits aktiv ausgenutzt, an einem Patch, der rechtzeitig zum "Patch Tuesday" am 14. April bereit sein soll wird gearbeitet - ein Out-of-Band-Patch ist derzeit nicht geplant. Workarounds sind verfügbar. CVE-Nummer: N/A CVSS Base S
11.03.2020

Update - Kritische Sicherheitslücke in Microsoft SMBv3 - Patch und Workarounds verfügbar

03. März 2020 Update: 13. März 2020 Beschreibung Microsoft hat außerhalb des monatlichen Patch-Zyklus ein Security Advisory mit Workarounds für eine kritische Sicherheitslücke in Microsoft Server Message Block 3.1.1 (SMBv3) veröffentlicht. CVE-Nummern: CVE-2020-0796 CVSS Base Score: 10.0 (laut CERT/CC ) Update: 13. März 2020 Microsoft gibt unter https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796 ebenfalls einen CVSS Base Score vo
20.01.2020

Kritische Sicherheitslücke in Microsoft Internet Explorer - aktiv ausgenützt, Workarounds verfügbar

20. Jänner 2020 Beschreibung Microsoft hat ausserhalb des monatlichen Patch-Zyklus ein Security Advisory mit Workarounds für eine kritische Sicherheitslücke in der Scripting Engine des Internet Explorers veröffentlicht. Diese Schwachstelle soll bereits aktiv ausgenützt werden. CVE-Nummer: CVE-2020-0674 CVSS Base Score: 7.5 (laut CERT/CC) Auswirkungen Durch Ausnützen der kritischen Lücke kann ein Angreifer laut Microsoft beliebigen Code auf betroffenen Systemen
31.10.2019

Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar

15. Oktober 2019 Beschreibung Adobe hat ausserhalb des monatlichen Patch-Zyklus Updates für Acrobat und Reader veröffentlicht, mit denen kritische Sicherheitslücken geschlossen werden. CVE-Nummern: CVE-2019-8064, CVE-2019-8160 bis CVE-2019-8226 Auswirkungen Durch Ausnützen mancher dieser Lücken kann ein Angreifer laut Adobe beliebigen Code mit den Rechten des angemeldeten Benutzers ausführen. Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreich