CERT-Bund hat eine Sicherheitswarnung zu einer kritischen Schwachstelle (CVE-2023-22515) in Atlassian Confluence veröffentlicht. Über die mit einer CVSS-Bewertung von 10.0 versehenen Schwachstelle können Remote-Angreifer Administrator-Konten erstellen und auf Confluence Instanzen zugreifen. Diese Schwachstelle wird bereits ausgenutzt. Atlassian hat zum 4. Oktober 2023 die Sicherheitswarnung CVE-2023-22515 – Broken Access Control Vulnerability in Confluence Data Center and Server mit weiteren Informationen dazu veröffentlicht. Rapid7 gibt in diesem Blog-Beitrag noch einige Informationen.
Translate
Suchen
Blogs auf Borncity
Spenden
Den Blog durch Spenden unterstützen.
Links
Seiten
Amazon
Awards
MVP: 2013 – 2016
WIMVP: 2017 – 20202015
Blogroll
Soziale Netzwerke-Seiten
Foren
Um mir den Moderationsaufwand zu ersparen, empfehle ich eines der unter Websites verlinkten Angebote. Im Microsoft Answers-Forum bin ich gelegentlich noch als Moderator zu Windows-Themen unterwegs.
Neueste Kommentare
- Micha bei LG rollt Copilot als nicht deinstallierbare App auf TV-Geräten aus
- Micha bei Der App-Zwang, die Sicherheit und Datenabflüsse
- mop bei Apple iOS 26.2; macOS 26.2 veröffentlicht
- noway bei Der App-Zwang, die Sicherheit und Datenabflüsse
- noway bei Der App-Zwang, die Sicherheit und Datenabflüsse
- noway bei LG rollt Copilot als nicht deinstallierbare App auf TV-Geräten aus
- Trillian bei Windows 7: Bekommt Microsoft Security Essentials noch Updates ab 1. März 2025?
- Benny bei Private-Equity-Gesellschaft Apollo reduziert Unternehmensanteile wegen KI-Unsicherheiten
- Anonym bei Der App-Zwang, die Sicherheit und Datenabflüsse
- Anonym bei Private-Equity-Gesellschaft Apollo reduziert Unternehmensanteile wegen KI-Unsicherheiten
- honx bei Windows 7: Bekommt Microsoft Security Essentials noch Updates ab 1. März 2025?
- honx bei Windows 7: Bekommt Microsoft Security Essentials noch Updates ab 1. März 2025?
- honx bei Windows 7: Bekommt Microsoft Security Essentials noch Updates ab 1. März 2025?
- Andreas bei Private-Equity-Gesellschaft Apollo reduziert Unternehmensanteile wegen KI-Unsicherheiten
- Ralf Lindemann bei Windows 7: Bekommt Microsoft Security Essentials noch Updates ab 1. März 2025?
Schwachstellen in dem sehr beliebten Programmcode wo jeder reingucken und Fehler selbst finden kann:
curl, CVE-2023-38545 "high" (eigentlich wohl "superdupermegaoverhigh"), schlimmsten ist diese "probably the worst security problem found in curl in a long time" schon seit 27 Jahren offen: https://www.heise.de/news/cURL-Infos-zu-schlimmster-Sicherheitsluecke-seit-Langem-kommen-am-11-Oktober-9326134.html
glibc, CVE-2023-4911 "high" (eigentlich wohl auch eher "hypergigiacrazyhigh"), seit 2 Jahren offen: https://blog.qualys.com/vulnerabilities-threat-research/2023/10/03/cve-2023-4911-looney-tunables-local-privilege-escalation-in-the-glibcs-ld-so#potential-impact-of-looney-tunables
Das betrifft natürlich das allseits beliebte Betriebssystem was besser sein soll als Windows, weil es ja so transparent ist und jeder die Fehler selber findet! Und tausend Anwendungsprogramme, die auf die entsprechenden Bibliotheken zugreifen oder – noch schlimmer – selbst mitbringen! Freunde, ihr müsst jetzt ganz stark sein, ich reiche euch ein Päckchen Traubenzucker zur Stärkung!
Für beides gibts aktuell noch keine Patches. Kommt erst noch. Ich drücke die Daumen!
Die glibc, das ist unter diesem Linux die zentrale Systembibliothek, ohne die quasi garnichts geht, nicht mal ein simples echo "Hello World" auf der Konsole. Und ohne Curl geht bei Internetzugriffen faktisch auch nichts. Sorry, dass ich hier ein bischen an dem hohen Sockel treten muss, auf dem manch einer der Linux-Helden, die mich hier immer wieder angehen, sitzt! Merkt euch, egal was kommt, letztlich sitzen wir doch alle auf dem selben leckgeschlagenen Schiff, der eine halt nur steuerbord, der andere backbord, und wenn einer zum anderen rübergeht, dann dreht sich das Schiff nur im Kreis.
Das Thema ist bei mir auf dem Radar – kommenden Dienstag kommt die Wahrheit, ob die Strategen aus Redmond das auch berücksichtigen – weiß nur noch nicht, wie zeitnah ich das berücksichtigen kann, da ich ein paar Tage abtauchen will.
Der Linux-Patch für curl kommt am Mittwoch 11.Oktober 2023, also kann er eigentlich noch nicht in den Windows-Updates drin sein, denn die kommen am Dienstag abend 10.Oktober 2023.
curl betrifft auch Windows Server, denn die curl.exe ist im system32-Ordner gespeichert.
c:\windows\system32\curl.exe
Das Loch in curl scheint kein bloßer Pufferüberlauf oder sowas in der Art zu sein, sondern etwas komplizierter, wie der Programmierer des noch kommenden Patches andeutet:
"allow us a few days for more deliberating on the vulnerability, to really think it through, write the advisory, understand it proper. Rinse and repeat."
github[.]com/curl/curl/discussions/12026#discussioncomment-7194592
Die glibc wurde bereits von einigen Linux-Distributionsherstellern gefixt:
www[.]heise[.]de/news/Jetzt-patchen-Exploits-fuer-glibc-Luecke-oeffentlich-verfuegbar-9326518.html
*gähn*
Die billige Ablenkungsmasche wieder. Das ist bei den meisten großen Distris längst gefixt, also wieder mal sinnlose Geiferei, 1ST1.