WordPress: Erneute Sicherheitslücke im Plugin Ninja FormsDas beliebte Formular-Framework ist erneut von einer Sicherheitslücke betroffen. Das WordPress-Plugin ist auf mehr als einer Million Webseiten aktiv.
AlertWordPress-Plugin: WooCommerce schließt kritische SicherheitslückeWordPress hat nach dem Veröffentlichen des Patches ein automatisiertes Zwangsupdate veranlasst. Trotzdem könnten noch nicht alle Shops versorgt sein.
heise+ Jahresabo-Angebot Jetzt alle heise+ Beiträge inklusive unserer Magazin-Inhalte für 30 Tage gratis lesen und anschließend im Jahresabo 36 Euro sparen. Bereits Magazin-Abonnent? Dann lesen Sie sogar noch günstiger!
SQL Injection: Gezielte Maßnahmen statt Block ListsBei Schwachstellen im Web nimmt SQL Injection nach wie vor eine führende Rolle ein, dabei ist die Abwehr gar nicht schwer.
SAP-Sicherheit: SQL Injections mit SAPs Open SQLOpen SQL, SAPs SQL-Interpretation, vermindert die Abhängigkeiten zu Datenbanksystemen. Leider gibt es auch hier einige Schwachstellen.
AlertAkute Gefahr für Überwachungs-Software Nagios XIEin MetaSploit-Modul nutzt mehrere Schwachstellen in Nagios XI so geschickt aus, dass ein Angreifer den Monitoring-Server übernehmen kann.
AlertJetzt patchen! SQL-Injection-Lücke bedroht WordPressDie abgesicherte WordPress-Version 4.8.3 ist erschienen. Nutzer sollten diese zügig installieren, da Angreifer Webseiten via SQL-Injection-Attacke übernehmen könnten.
AlertWordPress-Plug-in NextGEN Gallery kann sich an SQL-Anfragen verschluckenUnter gewissen Voraussetzungen können Angreifer mittels manipulierter SQL-Anfragen Nutzerdaten von WordPress-Webseiten abgreifen.
AlertWordpress-Plugin bleibt ungefixt Ein Sicherheitsforscher deckte zwei Lücken in der Wordpress-Erweiterung Event-Registration auf; die Hersteller reagieren jedoch nicht.
UpdateUpdate unbedingt installieren: Joomla im Fokus von AngreifernNutzer von Joomla sollten das in der vergangenen Woche veröffentlichte Update dringend einspielen. Denn Angreifer attackieren aktuell massenweise Webseiten, die eine verwundbare Version einsetzen.
AlertJoomla-Patch: Kritische SQL-Injection-Lücke geschlossenIn aktuellen Versionen des Content Management Systems Joomla klafft eine Lücke, über die Angreifer die Webseite in ihre Kontrolle bringen können. Die Entwickler empfehlen Admins, das Update so schnell wie möglich einzuspielen.
Sicherheitslücken gestopft: SAP macht HANA sichererSAP hat zwölf Schwachstellen innerhalb der In-Memory-Plattform HANA abgedichtet.
Mutmaßlicher Kopf hinter Riesen-Kreditenkartenhack an USA ausgeliefertZwei Jahre nach seiner Festnahme in den Niederlanden ist Wladimir Drinkman an die USA ausgeliefert worden. Ihm wird eine führende Beteiligung an einem der größten Hackerangriffe in der Geschichte der USA vorgeworfen.
AlertDrupal-Lücke mit dramatischen FolgenJede Drupal-Installation, die am 15. Oktober nicht binnen Stunden gepatcht worden ist, muss man als kompromittiert betrachten. Mit dieser drastischen Einschätzung wendet sich das Drupal-Team an die Öffentlichkeit. Wohl dem, der ein Backup hat.
Zwei Patches schließen SQL-Injection-Lücken in Ruby on RailsZwei recht ähnliche Lücken erlaubten SQL-Injections auf Websites, die auf Ruby on Rails 2.0.0 bis 3.1.18 sowie auf 4.x aufsetzen. In mehreren Anläufen haben die Rails-Entwickler die Lücken nun geschlossen.
AlertSchon wieder hunderttausende Kundendaten durch xt:Commerce-Lücke geklautEine weitere Sicherheitslücke in xt:Commerce 3 und einigen der Nachfolger wird derzeit ausgenutzt, um die Namen, Mail-Adressen und Passwort-Hashes in Online-Shops zu entwenden. Betroffen sind über 230.000 Kunden vor allem aus Deutschland und Österreich.
lost+found: Was von der Woche übrig bliebHeute mit: Klopftechniken, einem angriffslustigen Google-Bot, angreifbaren Web-Apps, vorhergesagten PHP-Zufallszahlen, nützlichen Python-Skripten und den Defcon-Mitschnitten.
Einzelhandel ist zunehmend Hackerangriffen ausgesetztDer Web Application Attack Report von Imperva kommt zu dem Schluss, dass Einzelhändler im wesentlich häufiger per SQL Injection attackiert werden, als andere Branchen. Das kann auch an der Vielzahl von Katalogseiten einer Webseite liegen.
lost+found: Was von der Woche übrig bliebHeute mit: einer fingierten Phishing-Falle, SQL-Injections wie im Lehrbuch, Security-Nachhilfe für App-Entwickler, Cisco-Bugs, einer Fortinet-Faceplam, einem Pentester-Firefox und Neuigkeiten zu den QNAP-Lücken.
Geschasster Campus-Hacker: College widersprichtDas ist der Stoff, aus dem die Shitstorms sind: Kanadisches College exmatrikuliert Studenten, weil er auf eine Sicherheitslücke aufmerksam gemacht hat. Statt einzulenken, verteidigt das Dawson College seine Position.
AlertGefahr durch eingeschmuggelte Ruby on Rails-ObjekteDie Entwickler von Ruby on Rails bitten ihre Nutzer um ein schnellstmögliches Update - über Rails-Objekte kann Code eingeschleust und ausgeführt werden.
Lücke in Ruby on Rails erlaubt SQL-InjectionsAlle aktuellen Versionen des Fameworks Ruby on Rails sind von einer Sicherheitslücke betroffen, die das Einschleusen von beliebigem SQL-Code ermöglicht. Nutzer sollten ihre Software möglichst schnell aktualisieren.
Post aus der Vergangenheit: Security-Fix nach 8 JahrenDer Entwickler der Web-Applikation PHP Gift Registry hat fast 8 Jahre nach der Veröffentlichung eines Hinweises auf eine schwere Sicherheitslücke schließlich doch noch geantwortet: Das Problem sei nun behoben.
eBay schließt kritische SicherheitslöcherDas Online-Auktionshaus hat unter anderem eine Lücke geschlossen, durch die man lesend und schreibend auf eine seiner Datenbanken zugreifen konnte.
AlertSQL Injection bei Trend Micro Control ManagerEin Update beseitigt eine SQL-Injection-Lücke in Trends Security-Management-Plattform.
LulzSec: Weiterer mutmaßlicher Sony-Hacker in HaftDie LulzSec-Gruppe hatte im vergangenen Jahr eine Website von Sony gehackt und Nutzerdaten veröffentlicht. Ein Mitglied der Gruppe bekannte sich bereits schuldig. Nun wurde ein zweiter Verdächtiger verhaftet.
Spezialisten veröffentlichen Lücken in DDoS-ToolsDie auf den Schutz vor verteilten Denial-of-Service-Attacken spezialisierte Firma Prolexic hat diverse Sicherheitslücken in dem DDoS-Toolkit Dirt Jumper veröffentlicht – und ist prompt nicht mehr zu erreichen.
Deutlicher Anstieg der SQL-Injection-Angriffe Die Security-Firma FireHost berichtet, dass die Zahl der registrierten SQL-Injection-Angriffe im letzten Quartal um 69 Prozent angestiegen ist. Das passt gut zu den in letzter Zeit sehr gehäuft auftretenden Passwort-Lecks.
1blu schließt Datenbank-LeckDer Hoster hat eine kritische Sicherheitslücke auf seiner Webseite geschlossen, noch bevor dadurch vertrauliche Daten entwendet werden konnten.
Hacker wegen Einbruch bei Billing-Provider verhaftetDas FBI soll den Führer der Hacktivistengruppe UGNazi verhaftet haben. Die Hacker hatten vor kurzem die Website des Bezahlsystemanbieters WHMCS gehackt und zahlreiche Kundendatensätze online gestellt.
AlertFehler in Admin-Software Plesk wird aktiv ausgenutztDie Lücke lässt sich ohne Anmeldung übers Netz ausnutzen; der Hersteller stellt jedoch bereits Updates bereit.
Bericht: Flughafen Düsseldorf schließt SicherheitslückenDurch kritische Schwachstellen in der Webpräsenz soll der Zugriff auf vertrauliche Daten wie Kreditkartennummern, Passagierlisten und Passwörter möglich gewesen sein.
Kritische Sicherheitslücke bei American Express beseitigtNachdem heise Security die Kreditkartenfirma über ein kritisches Sicherheitsproblem auf ihren Web-Seiten informiert hat, wurde die Lücke innerhalb weniger Tage geschlossen.
Experten warnen vor neuer SQL-Attacke "Lilupophilupop"Eine Welle von gezielten SQL-Injection-Attacken breitet sich nach Angaben von Sicherheitsexperten immer stärker aus. Betreiber sollten ihre Websites überprüfen und Gegenmaßnahmen ergreifen.
Hacker späht Nutzerdaten in Nokias Entwicklerforum ausEine Schwachstelle in seiner Bulletin-Board-Software ist Nokia zum Verhängnis geworden. Ein Hacker erlangte Zugriff auf E-Mailadressen und Geburtsdaten von im Developer-Forum registrierten Entwicklern.
Gema offenbar gleich mehrfach gehacktWie es aussieht hat bereits im Juli ein Unbekannter die Benutzerpasswörter des Gema-Servers entführt. Der spektakuläre Einbruch am Wochenende mit dem Defacement erfolgte über eine ähnliche Lücke.
Hacktivisten knacken Datenbank von Sony PicturesErneut sind Hacker in Server von Sony eingedrungen. Sie wollen Zugriff auf über eine Million Kundendaten gehabt haben und veröffentlichten als Beweis zehntausende Datensätze – einschließlich der Passwörter im Klartext.
Tool hilft bei Schwachstellensuche in WebanwendungenDas freie "Web Application Attack and Audit Framework" ist auf SQL-Injection und Cross-Site-Scripting-Schwachstellen sowie auf Local-File-Inclusion und Remote-File-Inclusion-Lücken spezialisiert.
Erneut Comodo-SSL-Registrar gehacktDurch eine SQL-Injection-Lücke ließ sich die Datenbank eines brasilianischen Resellers auslesen. Die Angreifer sollen sich diesmal jedoch keine Zertifikate selbst ausgestellt haben.
Angriffe auf Sony gehen weiterIn den vergangenen Tagen wurden unter anderem aus einem Online-Shop von Sony Ericsson Kundendaten ausgelesen und im Internet veröffentlicht.
Cisco patcht Unified Communications ManagerDer Hersteller hat unter anderem zwei SQL-Injection-Lücken gefixt, durch die Angreifer aus der Ferne die Kontrolle über den Kommunkationsserver übernehmen können. Auch die Firmware der Wireless LAN Controller wurde aktualisiert.
Hunderttausende gehackter Webseiten sollten Scareware verbreitenDurch eine großangelegte SQL-Injection-Attacke haben Kriminelle vermutlich bis zu 400.000 Webseiten mit Links zu Scareware infiziert.
