Privilege Escalation für Nginx auf Debian/Ubuntu-Systemen

- 16. November 2016

Für den beliebten Webserver Nginx gibt es eine Warnung vor einer Privilege Escalation im Zusammenhang mit Debian- und Ubuntu-Systemen.

Laut einer Mitteilung von Legalhackers.com erzeugt Nginx auf den besagten Systemen Logverzeichnisse mit unsicheren Rechten. Das können Angreifer ausnutzen, um dem User “www-data” Rootrechte zu verschaffen. Der Zugriff auf Nginx kann auch aus der Ferne und über einen weiteren Exploit erfolgen, der eine Lücke in einer Webanwendung zu nutzen weiß.

Der Angreifer würde dann das Logfile gegen einen Symlink austauschen und warten, bis der Server das gefälschte Logfile öffnet. Dank Logrotate passiert das auf Debian- und Ubuntu-Systemen regelmäßig über Cronjobs. In diesem Fall verschafft sich der Angreifer per SUID Rootrechte.

Die Webseite, die über den Fehler informiert, zeigt auch im Detail und mit Exploitcode, wie ein Angreifer so eine Attacke in die Tat umsetzt. Das zugehörige Advisory ist CVE-2016-1247, in den Paketen mit den Versionen “1.6.2-5+deb8u3” (Debian) und “1.10.0-0ubuntu0.16.04.3” (Ubuntu 16.04), “1.4.6-1ubuntu3.6” (Ubuntu 14.04) und “1.10.1-0ubuntu1.1” (Ubuntu 16.10) stecken bereits Fixes für das Problem.

Anthropic schlägt Pause bei KI-Entwicklung vor

Anthropic hat eine Pause bei der Entwicklung von KI-Spitzenmodellen vorgeschlagen, um mehr Zeit zu gewinnen, mit den möglichen Folgen umzugehen.

X11-Session verschwindet bald endgültig aus KDE

Was erstmals bereits vor 15 Jahren angekündigt wurde, soll nun in fünf Monaten Wirklichkeit werden. Das Release 6.8 von Plasma wird erstmals keine eigene KDE-Session mehr enthalten und nur noch Wayland verwenden.

Linux-Kommandozeilentools kommen für Windows

Mit den "Coreutils for Windows" stellt Microsoft ein Set von Kommandozeilenwerkzeugen - dieselben wie unter Linux, MacOS oder WSL - bereit, das nativ unter Windows ausgeführt werden kann.

KI-Modelle lernen mit Open-Source-Daten Diagramme zu lesen

Das neue Trainingsdatenset ChartNet, entworfern von Forschern des MIT und des MIT-IBM Computing Research Lab, könnte die Genauigkeit von Vision-Language-Modellen (VLM) verbessern, die bei der Analyse von Geschäftstrends oder der Interpretation wissenschaftlicher Abbildungen helfen.

Trump unterzeichnet Anordnung zur Überprüfung von KI-Modellen

Die Anordnung stellt eine Abkehr von der bisher vom Weißen Haus gegenüber KI verfolgten zurückhaltenden Haltung dar. Sie folgt auf Debatten darüber, wie man die Kontrolle über KI-Modelle erlangen könne, ohne dabei die Innovation zu behindern.

Vim Classic in erster Version erschienen

Vim Classic ist einer von zwei Vim-Forks (der andere ist EVi), die sich auf die Fahnen geschrieben haben, ganz ohne KI-Unterstützung entwickelt zu werden. Vim Classic geht auf Vim 8.2.0148 zurück (EVi dagegen auf Vim 9.10 mit dem neuen Vim9-Script-Feature) und ist nun in der ersten Version 8.3...

E-Mail Benachrichtigung

0 Kommentare

Älteste

Neuste Beste Bewertung

Inline Feedbacks

Alle Kommentare anzeigen