Programmiersprache PHP: Updates für 8.x beheben Bug im Zusammenspiel mit SQLiteEine Funktion, die Datenbankabfragen in Anführungszeichen setzt, kann zu unerwarteten Ergebnissen führen und sich potenziell für SQL-Injection ausnutzen lassen.
WordPress: Erneute Sicherheitslücke im Plugin Ninja FormsDas beliebte Formular-Framework ist erneut von einer Sicherheitslücke betroffen. Das WordPress-Plugin ist auf mehr als einer Million Webseiten aktiv.
heise+ Geburtstags-Angebot Jetzt heise+ mit über 60% Rabatt testen und alle heise+ Beiträge inklusive der Inhalte aller Heise-Magazine lesen. 3 Monate für nur 5€ mtl. - nur für kurze Zeit!
AlertWordPress-Plugin: WooCommerce schließt kritische SicherheitslückeWordPress hat nach dem Veröffentlichen des Patches ein automatisiertes Zwangsupdate veranlasst. Trotzdem könnten noch nicht alle Shops versorgt sein.
SQL Injection: Gezielte Maßnahmen statt Block ListsBei Schwachstellen im Web nimmt SQL Injection nach wie vor eine führende Rolle ein, dabei ist die Abwehr gar nicht schwer.
SAP-Sicherheit: SQL Injections mit SAPs Open SQLOpen SQL, SAPs SQL-Interpretation, vermindert die Abhängigkeiten zu Datenbanksystemen. Leider gibt es auch hier einige Schwachstellen.
AlertAkute Gefahr für Überwachungs-Software Nagios XIEin MetaSploit-Modul nutzt mehrere Schwachstellen in Nagios XI so geschickt aus, dass ein Angreifer den Monitoring-Server übernehmen kann.
AlertJetzt patchen! SQL-Injection-Lücke bedroht WordPressDie abgesicherte WordPress-Version 4.8.3 ist erschienen. Nutzer sollten diese zügig installieren, da Angreifer Webseiten via SQL-Injection-Attacke übernehmen könnten.
AlertWordPress-Plug-in NextGEN Gallery kann sich an SQL-Anfragen verschluckenUnter gewissen Voraussetzungen können Angreifer mittels manipulierter SQL-Anfragen Nutzerdaten von WordPress-Webseiten abgreifen.
AlertWordpress-Plugin bleibt ungefixt Ein Sicherheitsforscher deckte zwei Lücken in der Wordpress-Erweiterung Event-Registration auf; die Hersteller reagieren jedoch nicht.
UpdateUpdate unbedingt installieren: Joomla im Fokus von AngreifernNutzer von Joomla sollten das in der vergangenen Woche veröffentlichte Update dringend einspielen. Denn Angreifer attackieren aktuell massenweise Webseiten, die eine verwundbare Version einsetzen.
AlertJoomla-Patch: Kritische SQL-Injection-Lücke geschlossenIn aktuellen Versionen des Content Management Systems Joomla klafft eine Lücke, über die Angreifer die Webseite in ihre Kontrolle bringen können. Die Entwickler empfehlen Admins, das Update so schnell wie möglich einzuspielen.
Sicherheitslücken gestopft: SAP macht HANA sichererSAP hat zwölf Schwachstellen innerhalb der In-Memory-Plattform HANA abgedichtet.
Mutmaßlicher Kopf hinter Riesen-Kreditenkartenhack an USA ausgeliefertZwei Jahre nach seiner Festnahme in den Niederlanden ist Wladimir Drinkman an die USA ausgeliefert worden. Ihm wird eine führende Beteiligung an einem der größten Hackerangriffe in der Geschichte der USA vorgeworfen.
AlertDrupal-Lücke mit dramatischen FolgenJede Drupal-Installation, die am 15. Oktober nicht binnen Stunden gepatcht worden ist, muss man als kompromittiert betrachten. Mit dieser drastischen Einschätzung wendet sich das Drupal-Team an die Öffentlichkeit. Wohl dem, der ein Backup hat.
Zwei Patches schließen SQL-Injection-Lücken in Ruby on RailsZwei recht ähnliche Lücken erlaubten SQL-Injections auf Websites, die auf Ruby on Rails 2.0.0 bis 3.1.18 sowie auf 4.x aufsetzen. In mehreren Anläufen haben die Rails-Entwickler die Lücken nun geschlossen.
AlertSchon wieder hunderttausende Kundendaten durch xt:Commerce-Lücke geklautEine weitere Sicherheitslücke in xt:Commerce 3 und einigen der Nachfolger wird derzeit ausgenutzt, um die Namen, Mail-Adressen und Passwort-Hashes in Online-Shops zu entwenden. Betroffen sind über 230.000 Kunden vor allem aus Deutschland und Österreich.
lost+found: Was von der Woche übrig bliebHeute mit: Klopftechniken, einem angriffslustigen Google-Bot, angreifbaren Web-Apps, vorhergesagten PHP-Zufallszahlen, nützlichen Python-Skripten und den Defcon-Mitschnitten.
Einzelhandel ist zunehmend Hackerangriffen ausgesetztDer Web Application Attack Report von Imperva kommt zu dem Schluss, dass Einzelhändler im wesentlich häufiger per SQL Injection attackiert werden, als andere Branchen. Das kann auch an der Vielzahl von Katalogseiten einer Webseite liegen.
lost+found: Was von der Woche übrig bliebHeute mit: einer fingierten Phishing-Falle, SQL-Injections wie im Lehrbuch, Security-Nachhilfe für App-Entwickler, Cisco-Bugs, einer Fortinet-Faceplam, einem Pentester-Firefox und Neuigkeiten zu den QNAP-Lücken.
Geschasster Campus-Hacker: College widersprichtDas ist der Stoff, aus dem die Shitstorms sind: Kanadisches College exmatrikuliert Studenten, weil er auf eine Sicherheitslücke aufmerksam gemacht hat. Statt einzulenken, verteidigt das Dawson College seine Position.
AlertGefahr durch eingeschmuggelte Ruby on Rails-ObjekteDie Entwickler von Ruby on Rails bitten ihre Nutzer um ein schnellstmögliches Update - über Rails-Objekte kann Code eingeschleust und ausgeführt werden.