Sie sind hier: Home » Aktuelle Meldungen

Charta und Abonnement

  • Das RUS-CERT veröffentlicht Ticker-Meldungen nach bestimmten Grundsätzen.
  • Sie können den RUS-CERT-Ticker regelmäßig per E-Mail oder RSS-Feed beziehen.

Suche in Meldungen

Hinweise zur Suche in RUS-CERT-Meldungen, insbesondere nach CVE-Namen

Aktuelle Meldungen

  • [Generic/Eduroam] Eduroam-Zugangsberechtigungen gefährdet (2016-01-22)
    Wie schon seit Längerem bekannt, können die Zugangsberechtigungsdaten von Eduroam-Benutzern per WLAN gestohlen werden, wenn das verbindende Gerät falsch konfiguriert ist. Dies betrifft vor allem Benutzer mobiler Geräte unter Android. Im Rahmen einer Studie hat die Universität Ulm diese Schwachstelle nun in einem Feldversuch untersucht und herausgefunden, dass dort rund 47% der zum Zugriff auf Eduroam genutzten Geräte von dieser Schwachstelle betroffen sind.
  • [Generic/ssh] Schwachstelle in SSH (2016-01-14)
    Fuer die CVE-2016-0777 wird auf einer OpenBSD Mailingsliste derzeit empfohlen dringend und sofort die undokumentierte Option "UseRoaming no" in der ssh_config bzw -oUseRoaming=no zu nutzen.
  • [Universität Stuttgart/Phishing] Phishing-Mails für CommuniGate-Pro-Server der Uni unterwegs (2016-01-05)
    Derzeit sind E-Mail-Nachrichten insbesondere an Benutzer des CommuniGate-Pro-Servers (mbox) der Universität Stuttgart unterwegs, die den Anschein erwecken, eine offizielle Nachricht des TIK zu sein und dazu auffordern, sich über einen in der Nachricht enthaltenen URL einzuloggen. Diese Nachrichten stammen jedoch nicht vom TIK und sollen lediglich dazu dienen, arglose Benutzer dazu zu verleiten, ihre Zugangsdaten preiszugeben. Es wird dringendst geraten, entsprechende E-Mail-Nachrichten umgehend zu löschen. Sollte man sich versehentlich dennoch über den beigefügten Link eingeloggt haben, muss die Zugangsberechtigung des entsprechenden Kontos umgehend von den zuständigen Mitarbeitern des TIK zurückgesetzt werden.
  • [Generic/TLS] SHA-1-signierte SSL-Zertifkate bald nur noch eingeschränkt funktionsfähig (2015-12-23)
    Firefox und Google Chrome akzeptieren ab 1. Januar 2016 keine neu ausgestellten Zertifikate, die den veralteten Hashalgorithmus SHA-1 verwenden.
  • [Generic/OpenSSL] Schwachstelle in OpenSSL (2015-07-09)
    Eine Schwachstelle in OpenSSL der Versionen OpenSSL 1.0.2b, 1.0.2c, 1.0.1n und 1.0.1o kann dazu führen, dass Zertifikatsketten nicht ordnungsgemäß geprüft werden und ungültige Zertifikate als vertrauenswürdig aktzeptiert werden. Es wird dringend empfohlen betroffene Versionen auf OpenSSL 1.0.1p bzw. 1.0.2d zu aktualisieren, falls noch nicht geschehen. Aktuelle Linux-Distributionen sollten bereits die nicht mehr betroffenen Versionen enthalten.

Anderswo

Aktuelle Links zu externen Quellen:

  • [DV-Recht] US-Gericht erlaubt Microsoft die massenhafte Übernahme von Domains anderer Provider (2014-07-01)
    Das Bundesbezirksgericht im US-Bundesstaat Nevada hat nach einer Klage Microsofts gegen Personen, die Malware, die Windows-Installationen angreift, verbreitet haben sollen, entschieden. alle .com, .net, .org, .biz und .info Domains des DynDNS-Anbieters NoIP an Microsoft zu übertragen. Dies sollte Microsoft in die Lage versetzen, die Domains zu filtern, über die die Malware nach Angaben Microsofts verbreitet worden sein sollen. Es erscheint sehr fraglich, ob die Übernahme von Domainnamen eines DynDNS-Anbieters einen wesentlichen Effekt auf die Verbreitung von Malware haben wird.
    Heute übernahm Microsoft, offenbar ohne vorher den Besitzer NoIP zu informieren (siehe deren Stellungnahme dazu) sämtliche Domains. Dies führte zu massiven Ausfällen bei den Kunden des DynDNS-Anbieters. weil Microsoft offenbar sehr schlecht vorbereitet und nicht in der Lage war, den Nameservice für die Kunden aufrecht zu erhalten.
    Neben diesem offensichtlichen Unvermögen, der NoIP potentiell großen Schaden zufügen kann und dem zu erwartenden eher sehr geringen Effekt bei der Malwarebekämpfung, ist es höchst bemerkenswert, dass es in den USA offenbar möglich ist, dass Microsoft einer anderen Firma mit Hilfe eines Gerichts die Geschäftsgrundlage entziehen kann, um seine bereits verkauften und durch andere betriebenen Produkte zu schützen. Maßnahmen und Methoden, wie das Übernehmen oder Abschalten von Internet-Infrastruktur, um mögliche ungesetzliche Handlungen zu verhindern (hier die angebliche Verbreitung von Malware), sind normalerweise Exekutivorganen eines Staates vorbehalten und werden nicht (möglicherweise konkurrierenden) Privatfirmen übertragen.
  • [DV-Recht] Microsoft durchsucht E-Mail-Konto eines Kunden (2014-03-21)
    Microsoft hat das E-Mail-Konto eines Kunden seines Dienstes Hotmail auf der Grundlage seiner Geschäftsbedingungen ausgewertet. Microsoft war auf der Suche nach einem Informationsleck, weil Teile des Codes des Betriebssystems Windows 8 auf dem Blog des Kunden aufgetaucht waren und der Konzern nun herausfinden wollte, woher diese als Geschäftsgeheimnis eingestufte Information gekommen war. Die Juristen Microsofts hatten entschieden, dass die Firma aufgrund der durch die Nutzer akzeptierten Geschäftsbedingungen auch private Daten des betreffenden Nutzers auswerten dürfe und dazu keine Legitimation durch einen Gerichtsbeschluss nötig sei.
    Dies ist in sofern sehr bemerkenswert, als dass es plausibel erscheint, dass mit dieser Begründung auch die Daten von Kunden anderer Dienste, wie etwa Office 365, unter diese Regelung fallen und jederzeit ausgewertet werden können. Es muss daher davon ausgegangen werden, dass Daten, die bei solchen Diensten gespeichert werden, nicht als vertaulich eingestuft werden können. Daraus ist zu schließen, dass Daten, die einer Geheimhaltungspflicht unterliegen, etwa Daten eines Projektes mit entsprechender Vereinbarung, nicht auf diesen Diensten verarbeitet werden können, ohne die Vereinbarung zu brechen. Gleiches gilt für schutzwürdige personenbezogene Daten. (s.a. heise)
  • [Generic/PPTP] "Der Todesstoß für PPTP" (2012-10-10)
    Der IT-Sicherheitsexperte Moxie Marlinspike mit seinem Projekt CloudCracker einen Dienst anbietet, der verspricht, "jeden PPTP-Zugang innerhalb eines Tages zu knacken". Die Heise-Redaktion hat den Dienst ausprobiert, mit höchst erschreckendem Ergebnis: Zwar hat das Knacken des PPTP-Zugangs zum Heise-LAN runde 36 Stunden gedauert, also etwas länger als versprochen, dennoch konnte der Redakteur danach problemlos den geknackten Zugang verwenden. Die Tauglichkeit des Protokolls für die Absicherung von VPN-Verbindungen muss daher als nicht mehr gegeben angesehen werden. (heise)
  • [Windows/Skype] Schwachstelle im Skype-Client (2011-08-04)
    Eine Schwachstelle im Skype Client 5.5 ermöglicht es einem Angreifer, das Skype-Konto eines betroffenen Benutzers unter seine Kontrolle zu bringen. Durch einen Entwurfsfehler werden bei der Benutzung der Facebook-Pinnwand- oder Kommentarfunktion die Sitzungsdaten für Dritte sichtbar, so dass das Konto des Benutzers übernommen werden kann. Die Schwachstelle wurde durch die neue Version, die diese Facebook-Funktionen erstmals anbietet, neu eingeführt. (Secalert.net)
  • [Google/Android] Schwachstelle im Smartphonebetriebsystem Android (2011-05-18)
    Verschiedene Applikationen für das Smartphonebetriebssystem Android senden Authentifizierungsdaten (AutheToken), die das Telefon bei der Anmeldung beim Google-Server erhalten hat, in un- oder nicht individuell verschlüsselten (alle Teilnehmer verwenden denselben Schlüssel) im Klartext. Dies erlaubt Dritten das Token abzufangen und mit seiner Hilfe auf alle persönlichen Daten, die über die Google-API verfügbar sind zugreifen. Siehe hierzu auch Catching AuthTokens in the Wild The Insecurity of Google's ClientLogin Protocol des Instituts für Medieninformatik der Universität Ulm. (heise)