it-sicherheit.li

News rund um IT-Sicherheit

Kategorie: Sicherheitslücke (Seite 2 von 2)

vRealize Log Sicherheitslücke

August 12, 2016 / / Keine Kommentare

8x6k0fv

Wie VMware gerade bekannt gegeben hat, gibt es eine Sicherheitslücke im Produkt vRealize Log Insight.

Es besteht die Gefahr von Directory Traversal Angriffen über dieses Produkt. Durch diese Art von Angriffen können Daten und Passwörter ausgelesen und gestohlen werden.

Laut VMware gibt es keinen Workaround, nur ein Update hilft gegen die Lücke.

Hier die Auflistung der Betroffenen Versionen:

VMware                 Product   Running              Replace with/
Product                Version   on        Severity   Apply Patch     Workaround
====================   =======   =======   ========   =============   ==========
vRealize Log Insight   3.x       VA        Moderate   3.6.0           None
vRealize Log Insight   2.x       VA        Moderate   3.6.0           None

VMware wurde durch Peter Nelson über die Schwachstelle Informiert und konnte schnell ein Update herausbringen.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Sicherheitslücke bei VMware

August 9, 2016 / / Keine Kommentare

Sensitive Daten

In den VMware Produkten ESXi, Fusion, Player, Tools und Workstation sind zwei Schwachstellen aufgetaucht die vom Notfallteam des BSI als hoch eingestuft werden.

Folgend eine Auflistung der betroffenen Produkte:

  • VMware Fusion vor 8.1.1
  • VMware Player vor 12.1.1
  • VMWare Tools vor 10.0.6
  • VMware vCenter Server
  • VMware vCenter Server ab 6.0
  • VMware vCenter Server vor 6.0 Update 2
  • VMware Workstation vor 12.1.1
  • Apple Mac OS X
  • GNU/Linux
  • Microsoft Windows
  • VMware ESXi
  • VMware ESXi ab 5.0
  • VMware ESXi vor 5.0 ESXi500-201606102-SG
  • VMware ESXi ab 5.1
  • VMware ESXi vor 5.1 ESXi510-201605102-SG
  • VMware ESXi ab 5.5
  • VMware ESXi vor 5.5 ESXi550-201607102-SG
  • VMware ESXi ab 6.0
  • VMware ESXi vor 6.0 ESXi600-201603102-SG

VMware hat bereits Patches für die betroffenen Systeme bereitgestellt.

Über das VMware Tool „Shared Folders“ (HGFS) können DLL Hijacking Attacken ausgeführt werden. Dies kann dazu führen dass auf dem Gast System Schadcodes ausgeführt werden können.

Der Angreifer muss jedoch Zugriff erhalten, dies kann durch ein manipuliertes Mail oder Dokument erfolgen welches ein ahnungsloser Benutzer öffnet.

Die zweite Schwachstelle, welche bei ESXi und vCenter Servern vorkommt, können Angreifer XSS-Attacken (Cross-Site-Scripting) ausführen und so Benutzer auf gefälschte Webseiten locken.

Sollte das ESXi-System bereits auf dem neusten Stand sein, ist es wichtig die VMware Tools einem Update zu unterziehen um die Schwachstellen endgültig zu schliessen.

Zum Glück wurde VMware frühzeitig durch Security B.V. auf die Lücken aufmerksam gemacht und konnte in kurzer Zeit Sicherheitspatches veröffentlichen.

 

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Audit von KeePass und Apache HTTP Server

Juli 28, 2016 / / Keine Kommentare

Die beiden Open Source Tools KeePass  und Apache’s HTTP Server werden nun genaustens durchleuchtet. Die Europäische Komission führt ein externes Security Audit dieser beiden Tools durch.

main_big

KeePass ist einer der bekanntesten Passwort Managern, welcher verfügbar ist auf diversen Plattformen. Über Third-Party Apps können KeePass Datenbanken auch auf Android oder iOS verwaltet werden.

Apache HTTP Server ist wohl der am meisten verbreitete Webserver in unserem WWW.  Geschätzt wird das beinahe 50% aller aktiven Webseiten auf einem Apache HTTP Server betrieben werden.

Ausgewählt wurden die beiden Anwendungen über eine öffentliche Umfrage auf der Plattform joinup. Zur Auswahl standen diverse Open Source Software, wie beispielsweise VLC Media Player, 7-zip oder Veracrypt. Ausgewertet wurden über 3200 Antworten, wobei 18.7% der Antworten für Apache HTTP Server stimmten und 23.1% für KeePass.

Sollten im Quellcode dieser Anwendungen Lücken aufgefunden werden, so werden diese mit den Entwicklern geteilt damit diese behoben werden können. Doch der Präsident von FSFE (Free Software Foundation Europe), Matthias Kirschner, äussert in seinem Blog bereits erste Skepsis. Er befürchtet, dass grosse Teile des Budgets ausgegeben werden, ohne wirklich einen positiven Einfluss auf die Software zu haben. Seine Befürchtung ist, dass aus diesem Audit lediglich diverse Beratungsberichte entstehen, welche niemand jemals lesen wird. Er fordet nun Experten zum Feedback auf, um die Anliegen bei der Europäischen Komission einzubringen um doch ein wertvolles Ergebnis aus diesem Audit zu ziehen.

Falls Ihr nützliches Feedback für dieses Audit habt, schaut auf dem Blog von Matthias Kirschner nach, um dieses einzubringen.

 

Hoffen wir das Beste und vielleicht die eine oder andere Verbesserung für diese beiden Tools.

 

Joinup Umfrage: Klick hier

Blog von Matthias Kirschner: Klick hier

 

Facebooktwittergoogle_plusredditpinterestlinkedinmail
Neuere Beiträge

Durch die Nutzung dieser Website erklären Sie sich mit unserer Verwendung von Cookies einverstanden. Nähere infos

Nähere infos Datenerfassung deaktivieren

© 2025 it-sicherheit.li

Theme von Anders NorénHoch ↑