Ein Sicherheitsforscher deckte zwei Lücken in der Wordpress-Erweiterung Event-Registration auf; die Hersteller reagieren jedoch nicht.

Jede Drupal-Installation, die am 15. Oktober nicht binnen Stunden gepatcht worden ist, muss man als kompromittiert betrachten. Mit dieser drastischen Einschätzung wendet sich das Drupal-Team an die Öffentlichkeit. Wohl dem, der ein Backup hat.

Zwei recht ähnliche Lücken erlaubten SQL-Injections auf Websites, die auf Ruby on Rails 2.0.0 bis 3.1.18 sowie auf 4.x aufsetzen. In mehreren Anläufen haben die Rails-Entwickler die Lücken nun geschlossen.

Eine weitere Sicherheitslücke in xt:Commerce 3 und einigen der Nachfolger wird derzeit ausgenutzt, um die Namen, Mail-Adressen und Passwort-Hashes in Online-Shops zu entwenden. Betroffen sind über 230.000 Kunden vor allem aus Deutschland und Österreich.

Heute mit: Klopftechniken, einem angriffslustigen Google-Bot, angreifbaren Web-Apps, vorhergesagten PHP-Zufallszahlen, nützlichen Python-Skripten und den Defcon-Mitschnitten.

Der Web Application Attack Report von Imperva kommt zu dem Schluss, dass Einzelhändler im wesentlich häufiger per SQL Injection attackiert werden, als andere Branchen. Das kann auch an der Vielzahl von Katalogseiten einer Webseite liegen.

Heute mit: einer fingierten Phishing-Falle, SQL-Injections wie im Lehrbuch, Security-Nachhilfe für App-Entwickler, Cisco-Bugs, einer Fortinet-Faceplam, einem Pentester-Firefox und Neuigkeiten zu den QNAP-Lücken.

Das ist der Stoff, aus dem die Shitstorms sind: Kanadisches College exmatrikuliert Studenten, weil er auf eine Sicherheitslücke aufmerksam gemacht hat. Statt einzulenken, verteidigt das Dawson College seine Position.

Die Entwickler von Ruby on Rails bitten ihre Nutzer um ein schnellstmögliches Update - über Rails-Objekte kann Code eingeschleust und ausgeführt werden.

Alle aktuellen Versionen des Fameworks Ruby on Rails sind von einer Sicherheitslücke betroffen, die das Einschleusen von beliebigem SQL-Code ermöglicht. Nutzer sollten ihre Software möglichst schnell aktualisieren.

Der Entwickler der Web-Applikation PHP Gift Registry hat fast 8 Jahre nach der Veröffentlichung eines Hinweises auf eine schwere Sicherheitslücke schließlich doch noch geantwortet: Das Problem sei nun behoben.

Das Online-Auktionshaus hat unter anderem eine Lücke geschlossen, durch die man lesend und schreibend auf eine seiner Datenbanken zugreifen konnte.

Ein Update beseitigt eine SQL-Injection-Lücke in Trends Security-Management-Plattform.

Die LulzSec-Gruppe hatte im vergangenen Jahr eine Website von Sony gehackt und Nutzerdaten veröffentlicht. Ein Mitglied der Gruppe bekannte sich bereits schuldig. Nun wurde ein zweiter Verdächtiger verhaftet.

Die auf den Schutz vor verteilten Denial-of-Service-Attacken spezialisierte Firma Prolexic hat diverse Sicherheitslücken in dem DDoS-Toolkit Dirt Jumper veröffentlicht – und ist prompt nicht mehr zu erreichen.

Die Security-Firma FireHost berichtet, dass die Zahl der registrierten SQL-Injection-Angriffe im letzten Quartal um 69 Prozent angestiegen ist. Das passt gut zu den in letzter Zeit sehr gehäuft auftretenden Passwort-Lecks.

Der Hoster hat eine kritische Sicherheitslücke auf seiner Webseite geschlossen, noch bevor dadurch vertrauliche Daten entwendet werden konnten.

Das FBI soll den Führer der Hacktivistengruppe UGNazi verhaftet haben. Die Hacker hatten vor kurzem die Website des Bezahlsystemanbieters WHMCS gehackt und zahlreiche Kundendatensätze online gestellt.

Die Lücke lässt sich ohne Anmeldung übers Netz ausnutzen; der Hersteller stellt jedoch bereits Updates bereit.

Durch kritische Schwachstellen in der Webpräsenz soll der Zugriff auf vertrauliche Daten wie Kreditkartennummern, Passagierlisten und Passwörter möglich gewesen sein.

Eine Welle von gezielten SQL-Injection-Attacken breitet sich nach Angaben von Sicherheitsexperten immer stärker aus. Betreiber sollten ihre Websites überprüfen und Gegenmaßnahmen ergreifen.

Eine Schwachstelle in seiner Bulletin-Board-Software ist Nokia zum Verhängnis geworden. Ein Hacker erlangte Zugriff auf E-Mailadressen und Geburtsdaten von im Developer-Forum registrierten Entwicklern.