Sicherheitslücken in WP Plug-Ins, SQLite u.a. #secuthursday KW 17

Header-Logo Sicherheit am Donnerstag

Heute gibt es den #secuthursday in einer Lite-Version. Wir reiten im Schnellgang durch die wichtigsten Sicherheitsmeldungen der letzten sieben Tage.

XSS-Sicherheitslücke in zahlreichen WordPress Plug-Ins

Eine unklare Dokumentation im WordPress Codex verleitete zahlreiche Entwickler zu ungeeigneten Implementation der Funktionen add_query_arg() und remove_query_arg() in ihren Plug-Ins. Eine große Zahl an Erweiterungen besitzt damit XSS-Sicherheitslücken und die Nutzer sollten sich nach Updates oder kurzfristigen Alternativen umschauen.

Wichtige Updates für qemu-kvm-Pakete

In der Virtualisierungslösung KVM wurde eine Möglichkeit entdeckt, Daten von einem Gästeaccount in den QEMU-Prozess des Hosts zu schreiben. Die genauen Umstände listen die Red Hat Security Advisorys 2015-0868-01 und 2015-0867-01 auf. Red Hat stellt mittlerweile Updates für die qemu-kvm Pakete bereit.

22 geschlossene Bugs in SQLite 3.8.9

Michal Zalewski hat in SQLite 22 Bugs gefunden, die unter anderem einen Stack Buffer-Overflow ermöglichen. Er veröffentlichte auf seclists.org nun eine Übersicht über die, seiner Meinung nach, drei kritischsten Sicherheitslücken und empfahl dringend das schon zur Verfügung stehende Update einzuspielen.

 

Sicherheit in Kürze – Lesenswerte Artikel und Entdeckungen aus dem Bereich der IT-Sicherheit.

PayPal Inc Bug Bounty #113 – Client Side Cross Site Scripting Vulnerability | via vulnerability-lab.com

Kleines, böses JPEG: Microsoft-Server mit manipulierten EXIF-Daten kapern | via heise security

Analyzing the Magento Vulnerability (Updated) | via Chekpoint.com Blog

 

———————————————————–

Haben Sie Neuigkeiten für uns? Twittern Sie unter dem Hashtag #secuthursday.

Haben Sie ein Problem festgestellt? Wissen Sie nicht, wie es um die Sicherheit ihrer Server steht? Nehmen Sie mit uns Kontakt auf, wir helfen Ihnen gerne bei der Beseitigung und der Administration Ihrer Server.

secu-ring

About secu-ring

Secu-ring ist Ihr Webdienstleister aus Berlin. Wir bieten Ihnen eine umfangreiche Servicepalette, um Ihre Idee erfolgreich im Internet umzusetzen: Konzeption und Planung, Webentwicklung, Serverbetreuung sowie Softwarewartung. Wir programmieren stabile und skalierbare Lösungen für Ihre Anforderungen und sorgen für einen problemlosen Betrieb. Konzentrieren Sie sich auf Ihr Geschäft, wir kümmern uns um den Rest.

One response on “Sicherheitslücken in WP Plug-Ins, SQLite u.a. #secuthursday KW 17

  1. Olaf Stichtenoth

    Seit ein paar Tagen ist auch eine Sicherheitslücke in dem auf dem Zend Framework basierenden Shopsystem Magento bekannt. Auf Systemen, auf denen das Verfügbare Sicherheitsupdate nicht eingespielt wurde, lassen sich beliebige SQL Befehle ausführen. Darüber könnten Angreifer Beispielsweise sich einen eigenen Admin User anlegen.
    Mehr Informationen gibt es unter anderem bei Heise:
    http://www.heise.de/newsticker/meldung/Magento-Luecke-wird-aktiv-ausgenutzt-2620110.html