OpenSSL, Yoast, Authy und Flash – #secuthursday KW 12/2015

Header-Logo Sicherheit am Donnerstag

Heute Nachmittag wichtiges OpenSSL-Update. Und: Wenn doppelte Sicherheit von einem sechsstelligen Generalcode ausgehebelt wird, ein alter Bekannter und wieder eine SQL-injection in einem WordPress Plug-In.

OpenSSL Update zum Donnerstag

Das OpenSSL-Team gab gestern bekannt, dass es zum 19.03.2015 einige Schwachstellen schließen will, wovon eine als kritische Sicherheitslücke eingestuft wird. Alle Details zu den Lücken werden mit Erscheinen der Updates (1.0.2a, 1.0.1m, 1.0.0r und 0.9.8zf) veröffentlicht. Es dürfte nicht lange dauern, bis die Angaben für Exploits genutzt werden, daher sollten Administratoren heute Nachmittag schnell reagieren.

 

WordPress Yoast SEO: Blind SQL Injection

WordPress ist eine der beliebtesten Weblog-Software weltweit, mit einer sehr umfangreichen Auswahl an Plug-Ins zur Funktionserweiterung. Das SEO-Tool von YOAST ist mit über 16 Millionen Downloads sicher auf vielen Installationen aktiv.

Letzt Woche wurde bekannt, dass bis zur Version 1.7.3.3. eine Sicherheitslücke eine Blind SQL Injection ermöglichte. Im Gegensatz Slimstat-Problem vor 3 Wochen müssen Angreifer den Exploit von einer autorisierten Person ausführen lassen. Dies kann z.B. über einen speziell präparierten Link geschehen, wofür der Angreifer per social engeniering die entsprechende Person und deren Daten identifizieren muss.

Team Yoast hat Updates für die verschiedenen Versionen (auf 1.7.4., 1.6.4., 1.5.7. und Premium 1.5.3.) bereitgestellt. Sollte in Ihrer Installation Auto-Update aktiviert sein, sollte das Plug-In schon gepatcht worden sein. Allen anderen Nutzern sei die manuelle Installation oder das aktivieren der Updates im Hintergrund empfohlen.

 

Flash-Player: 11 Sicherheitslücken geschlossen

Es gibt ein neues Update für den Flash-Player um elf kritische Sicherheitslücken zu stopfen. Wie immer sollten Anwendern hier schnell reagieren und die aktualisierten Versionen einspielen.

 

Authy: Zugang per Generalschlüssel

Normalerweise soll eine Zweifaktor-Authentifizierung den Login-Prozess absichern, indem ein Einmalpasswort nach der eigentlichen Log-in-Maske abgefragt wird. Das Passwort wird dazu an ein verifiziertes Gerät per SMS gesandt oder per App auf dem Gerät generiert. Der Dienst Authy bietet diese Art der Authentifizierung für Seiten wie twitch oder Cloudflare an.

Der Sicherheitsforscher Egor Homakov veröffentlichte diese Woche einen Beitrag über Sicherheitslücken, welche die Möglichkeit eines Generalschlüssels ermöglichten. Durch einen Fehler im Ruby-Gem rack-protection erzeugte der Text „../sms“ einen einen Statuscode 200 (für OK). Wer sich für das genaue Vorgehen interessiert, findet in Homakovs Blogeintrag ausführliche Erläuterungen. Auch die Module Authy-node und Authy-python besaßen ihm zufolge ähnliche Fehler. Alle drei Sicherheitslücken wurden mittlerweile abgesichert und auch Authy hat die Schwachstelle beseitigt. Nutzer, die über Authy-python oder Authy-node mit dem Dienst kommunizierten, sollten ihre Versionen unbedingt auf den neusten Stand bringen.

 

———————————————————–

Haben Sie Neuigkeiten für uns? Twittern Sie unter dem Hashtag #secuthursday.

Haben Sie ein Problem festgestellt? Wissen Sie nicht, wie es um die Sicherheit ihrer Server steht? Nehmen Sie mit uns Kontakt auf, wir helfen Ihnen gerne bei der Beseitigung und der Administration Ihrer Server.

secu-ring

About secu-ring

Secu-ring ist Ihr Webdienstleister aus Berlin. Wir bieten Ihnen eine umfangreiche Servicepalette, um Ihre Idee erfolgreich im Internet umzusetzen: Konzeption und Planung, Webentwicklung, Serverbetreuung sowie Softwarewartung. Wir programmieren stabile und skalierbare Lösungen für Ihre Anforderungen und sorgen für einen problemlosen Betrieb. Konzentrieren Sie sich auf Ihr Geschäft, wir kümmern uns um den Rest.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.