Exploit bei Webmin: Backdoor in Quellcode eingeschleust

Wie unlängst bekannt geworden ist, wurde in der Webmin Version 1.890 ein Backdoor gefunden, mit dem Befehle als root ausgeführt werden können – von dem jedem, der über diese Sicherheitslücke Bescheid weiß. Die Versionen 1.900 bis 1.920 enthielten ebenfalls eine Hintertür zum Server mit ähnlichem Code, welche in einer Standard-Webmin-Installation aber nicht ausgenutzt werden konnte. „Exploit bei Webmin: Backdoor in Quellcode eingeschleust“ weiterlesen

Heartbleed: Anonymous Austria brachte Banken und Webseiten-Betreiber in Zugzwang

Am 8. April wurde eine schwerwiegende Sicherheitslücke bei OpenSSL bekannt gemacht. Als Spitzname bekam die kritische Sicherheitslücke den Namen Heartbleed Bug. Der Twitter Account AnonAustria von Anonymus twitterte am 8. und 9. April 2014 Tweets, um die Öffentlichkeit auf die Sicherheitslücke bei Internetseiten wie beispielsweise von der Erste Bank / Sparkassen, den Wiener Linien, Ticket Express und so weiter, hinzuweisen. Dafür bedienten sie sich „eigener“ Methoden und brachten die Internetserver der betreffenden Webseiten dazu, über manipulierte Datenpakete, Login-Daten und im Fall der Banken, auch Informationen über getätigte Überweisungen auszugeben. Das Resultat veröffentlichte AnonAustria als Dump und verschleierten hier und da paar Zeilen.

„Heartbleed: Anonymous Austria brachte Banken und Webseiten-Betreiber in Zugzwang“ weiterlesen

Heartbleed Bug – Fehler in OpenSSL: Angreifer können Keys von Server erhalten

In OpenSSL wurde eine schwere Sicherheitslücke entdeckt, über die Angreifer mit einem manipulierten Datenpaket den Speicher auslesen können. Laut Aussagen der Entdecker der Sicherheitslücke, gelang es ihnen den privaten Schlüssel eines TLS-Servers auszulesen.

Die Sicherheitslücke wird von den Entdeckern Heartbleed Bug genannt und hat die ID CVE-2014-0160 erhalten.

„Heartbleed Bug – Fehler in OpenSSL: Angreifer können Keys von Server erhalten“ weiterlesen