Open Source im professionellen Einsatz

Das Insecurity Bulletin widmet sich aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. Sie können das Bulletin per RSS-Feed abonnieren.

WPA2-Protokoll unsicher

23.10.2017 13:05
Das WPA2-Protokoll gilt im Vergleich zu seinen Vorgängern wie WPE als sehrsicher und ausgereift. Es gibt hierzu auch verschiedene formale, kryptografische Beweise, die die Sicherheit des Verfahrens mathematisch darlegen. Dies hat WPA2 als Standard für WLAN-Übertragungen etabliert. Der ganze Trick der jetzt bekannt gewordenen KRACK-Attacke gegen WPA2 besteht darin, die Kommunikationspa...

Magento: Cross-Site-Request-Forgery-Attacken

10.10.2017 12:02
Magento ist eine Enterprise-Class E-Commeerce Lösung, die vollständig auf Open-Source-Technologie beruht. Geschrieben ist die Softare in PHP und läuft unter Apache im Zusammenspiel von MySQL. Eine kürzlich entdeckte Sicherheitslücke in Magento hat zur Folge, dass ein entfernter Angreifer Cross-Site-Request-Forgery-Attacken gegen die Applikation durchführen kann. Die Attac...

OpenVPN: Buffer-Overflow-Attacke

02.10.2017 13:45
 Eine Sicherheitslücke in OpenVPN hat zur Folge, dass ein entfernter Angreifer Befehle mit höheren Rechten auf betroffenen Systemen ausführen kann. Der Angreifer kann die Schwachstelle durch das Senden bestimmter Netzwerkdaten an den OpenVPN-Dienst ausnutzen. Dabei kommt es im Programmcode zu einem Stack-Buffer-Overflow-Fehler. Der Programmierfehler befindet sich in...

Blueborne: Neue Bluetooth-Attack

27.09.2017 14:14
Bluethooth ist mittlerweile praktisch in jedem digitalen Gerät anzutreffen: Smartphones, Laptots, IoT-Devices und so weiter. Kürzlich haben Sicherheitsforscher der Armis Labs eine neue Attacke gegen Bluetooth gefunden. Diese so genannte Blueborn-Attacke ermöglicht es einem Angreifer, via Bluethooth Geräte zu übernehmen. Kritisch hierbei ist, dass dies ohne jegliche Intera...

Sicherheitslücken in Chrome

20.09.2017 08:47
In dem Google Chrome Browser wurden kürzlich zahlreiche Sicherheitslücken korrigiert. Ein entfernter Angreifer konnte dadurch verschiedene Attacken durchführen. Unter anderem war es einem Angreifer damit möglich über spezielle Web-Inhalte Befehle auf dem System seines Opfers auszuführen. Weiter ist es auch möglich, dass der Angreifer verschiedene Sicherheitskontrollen umgeht....

Typo3: Unsichere Erweiterungen in Typo3

11.09.2017 15:58
CMS ist ein freies Content-Management-System für Websites, das auf der Skriptsprache PHP basiert und als Datenbank sowohl MySQL als auch MariaDB und PostreSQL unterstützt. Typo3 bietet insgesamt mehr als 5000 Erweiterungen an, die die Funktionalität von Typo3 erheblich erweitern können. Diese Erweiterungen werden über das Extension Repository (TER) bereitgestellt, von dem der Extensio...

mbed TLS: Man-in-the-Middle-Attacke gegen TLS-Verbdindungen

04.09.2017 09:41
Mbed TLS ist eine Programmbibliothek für Transport Layer Security (TLS) mit einem minimalen Funktionsumfang, die aufgrund ihres geringen Resourcen-Verbrauchs vor allem auf eingebetteten Geräten zum Einsatz kommt. Der Speicherverbrauch von nur 64kB ist entsprechend klein und ideal für IoT-Systeme geeignet. Nun wurde eine Sicherheitslücke in der Mbed-TLS-Bibliothek gefunden, der es eine...

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.