heise Security

Eine von DevOps.com im Auftrag von Veracode durchgeführte Umfrage zeigt, dass Entwickler in ihrer Ausbildung zu wenig über Security lernen, um den Anforderungen von DevSecOps gerecht zu werden.

Aktuell erreichen Nutzer Nachrichten mit Links, die sie zur Eingabe persönlicher Daten nötigen. Sie stammen angeblich von Apple.

Nutzer von Drupal sollten zügig die aktuellen Versionen installieren. In diesen haben die Entwickler mehrere Sicherheitslücken geschlossen.

Das im September erwartete Linux 4.13 kann Strukturen im Binärcode verwürfeln, um Angreifern ein Eindringen zu erschweren. Die Datei /proc/cpuinfo verrät nicht mehr die aktuelle Taktfrequenz des Prozessors.

Containerterminals standen still, Schiffe konnten weder gelöscht noch beladen werden: Mehrere Wochen hielt der Trojaner den dänischen Mega-Konzern Maersk in Atem. Die Reederei Maersk Line und der Hafenbetreiber APM Terminals wurden schwer getroffen.

Mehrere Sicherheitslücken in der Virtualisierungssoftware Xen erlauben es Angreifern, von Gast-Rechten auf Host-Rechte zu wechseln sowie den Hypervisor zum Absturz zu bringen.

Eine raffinierte Hintertür wurde von Angreifern per korrekt signiertem Update an die Netzwerk-Admin-Tools der koreanischen Firma NetSarang ausgeliefert. Es dauerte mehr als zwei Wochen, bis der Spionage-Trojaner im Netz eines Bankinstitutes aufflog.

Ein einzelner, motivierter Angreifer mit Script-Kiddie-Tools kann in vier Monaten so viele Angriffe ausführen, dass auch routinierte Sicherheitsforscher erst mal an eine staatlich-finanzierte Kampagne glauben.

Administratoren, die PostgreSQL-Datenbanken betreiben, sollten ihre Software updaten. Unter bestimmten Umständen können sich Angreifer an den Servern ohne Eingabe eines Passwortes anmelden, warnen die Entwickler.

Viele Versionskontrollsysteme haben eine Sicherheitslücke, die es Angreifern ermöglicht, Schadcode auszuführen. Beim Webfrontend GitLab ist dies besonders brisant. Admins sollten Installationen der Software umgehend aktualisieren.