21. April 2021 Beschreibung SonicWall hat Updates für drei kritische Schwachstellen in SonicWall Email Security veröffentlicht, die es AngreiferInnen ermöglichen, einen Account mit Administrationsrechten zu erstellen und anschließend beliebige Dateien auf dem System zu lesen und zu schreiben. Dadurch ist es auch möglich, ausführbare Dateien hochzuladen und auf diesem Weg beliebigen Code auszuführen. Die Lücken […]
21. April 2021 Beschreibung Pulse Secure hat ein Out-Of-Cycle Advisory zu einer kritischen Sicherheitslücke in Pulse Connect Secure veröffentlicht, die das Ausführen von beliebigem Code ermöglicht. CVE-Nummer: CVE-2021-22893 CVSS Base Score: 10 Auswirkungen Die Sicherheitslücke ermöglicht entfernten AngreiferInnen potentiell das Ausführen von Schadcode über derzeit nicht näher spezifizierte Angriffsvektoren und wird aktuell aktiv ausgenützt. Betroffene […]
3. März 2021 Beschreibung Microsoft hat außerhalb des üblichen Update-Zyklus‘ mehrere Patches für Microsoft Exchange zur Verfügung gestellt. Einige der darin behobenen Sicherheitslücken werden nach Angaben von Microsoft und der IT-Sicherheits-Firma Volexity bereits aktiv ausgenutzt. Es gibt bereits öffentlich verfügbare Skripte, mit denen aus dem öffentlichen Internet erreichbare Exchange Server von außen auf Verwundbarkeit geprüft […]
04. November 2020 Beschreibung Mehrere Versionen des Oracle WebLogic Servers weisen eine via HTTP(S) ausnutzbare Remote Code Execution (RCE) auf. Für einen Angriff ist keinerlei Authentifikation nötig. Weitere Details gehen aus dem öffentlichen Oracle Advisory nicht hervor. Laut Oracle steht die Lücke jedoch mit der im Oktober geschlossenen Lücke CVE-2020-14882 in Verbindung, bei der es […]
11. September 2020 Beschreibung Microsoft hat zum Patch Tuesday ein Advisory zu einer kritischen Sicherheitslücke in Microsoft Exchange Server veröffentlicht, bei der unter bestimmten Voraussetzungen das Ausführen von beliebigem Code ermöglicht wird. Proof-of-Concept-Code wurde bereits veröffentlicht. CVE-Nummern: CVE-2020-16875 CVSS Base Score: 8.4 Auswirkungen Eine unzureichende Validierung im New-DlpPolicy cmdlet von MS Exchange Server erlaubt aktiven […]
15. Juli 2020 Beschreibung Microsoft hat zum Patch Tuesday zeitgleich mit den zugehörigen Patches ein Advisory zu einer kritischen Sicherheitslücke in Microsoft Windows DNS Server veröffentlicht, bei der DNS-Anfragen fehlerhaft verarbeitet werden. CVE-Nummer: CVE-2020-1350 CVSS Base Score: 10.0 Auswirkungen Ein erfolgreicher Angriff ermöglicht AngreiferInnen potentiell das Ausführen von beliebigem Code mit System-Rechten und kann möglicherweise […]
14. Juli 2020 Beschreibung SAP hat einen Patch zur Behebung einer kritischen Sicherheitslücke in der Komponente LM Configuration Wizard des SAP NetWeaver Application Server Java veröffentlicht. CVE-Nummern: CVE-2020-6287 CVSS Base Score: 10.0 Auswirkungen Ein erfolgreicher Angriff ermöglicht entfernten, unauthentifizierten AngreiferInnen potentiell das Anlegen eines SAP-Benutzers mit maximalen Zugriffsrechten sowie das Ausführen von Befehlen mit den […]
1. Juli 2020 Beschreibung Der Hersteller F5 hat ein Security Advisory zu einer kritischen Lücke im Traffic Management User Interface (TMUI/Configuration Utility) seines Produkts BIG-IP veröffentlicht. CVE-Nummer: CVE-2020-5902CVSSv3 Score: 10.0 (laut F5) Auswirkungen Durch Ausnützen der Lücke kann laut F5 ein Angreifer mit Zugriff auf das TMUI beliebige Systembefehle sowie Java-Code ausführen, Dateien erstellen oder […]
23. April 2020 Beschreibung Das IT-Security Unternehmen ZecOps hat Informationen zu Schwachstellen in der Standard Mail App für Apple iOS (IPhone, IPad etc.) veröffentlicht, für die es noch keine breit verfügbaren Patches gibt. Die Schwachstellen werden zumindest in gezielten Angriffen bereits seit 2018 aktiv ausgenützt. Auswirkungen Durch erfolgreiches Ausnützen der Schwachstelle ist es Angreifern prinzipiell […]
24. März 2020 Beschreibung Microsoft hat außerhalb des monatlichen Patch-Zyklus ein Security Advisory für eine kritische Sicherheitslücke in der Adobe Type Manager Library veröffentlicht.Laut Microsoft und CERT/CC wird die Schwachstelle bereits aktiv ausgenutzt, an einem Patch, der rechtzeitig zum „Patch Tuesday“ am 14. April bereit sein soll wird gearbeitet – ein Out-of-Band-Patch ist derzeit nicht […]
