TecChannel Sicherheits-Report

Kritische Lücken bei Siemens, IBM und Oracle. Amazons unsichere Passwörter und MySQL durch SQL-Einspeisung gehackt

Für Siemens FactoryLink wurden mehrere kritische Schwachstellen veröffentlicht, für die es kein Update gibt. Amazons Cloud.Dienst lässt 12345 als Passwort zu. IBM und Oracle geben Flicken aus. MySQL.com wurde ironischerweise durch eine SQL-Injection gehackt.

Insgesamt sieben Schwachstelle in Siemens FactoryLink 8.x lassen Enthüllung sebsibler Informationen, DoS-Angriffe und Systemzugriff zu. Die Schwachstellen wurden veröffentlicht. Ein Update steht derzeit nicht zur Verfügung: http://aluigi.altervista.org/adv/factorylink_1-adv.txt, http://aluigi.altervista.org/adv/factorylink_2-adv.txt, http://aluigi.altervista.org/adv/factorylink_3-adv.txt, http://aluigi.altervista.org/adv/factorylink_4-adv.txt, http://aluigi.altervista.org/adv/factorylink_5-adv.txt, http://aluigi.altervista.org/adv/factorylink_6-adv.txt

IBM hat eine Sicherheitslücke in WebSphere Data Power XC10 Appliance 1.x bestätigt. Sie hängt mit der darin enthaltenen Java-Version zusammen. Welche Auswirkungen die Sicherheitslücke haben kann, wird derzeit nicht verraten. Bestätigt ist die Schwachstelle für Firmware-Versionen vor 1.0.0.5. Die Schwachstelle ist als kritisch eingestuft. Administratoren sollten das neueste Update einspielen: http://www.ibm.com/support/docview.wss?uid=swg24029502

Oracle hat Updates für Solaris zur Verfügung gestellt. Diese Flicken bereinigen zwei Schwachstellen in BIND und lassen Datenmanipulation oder DoS-Angriffe zu. Betroffen sind Solaris 8, 9 und 10. Die Lücken werden als kritisch bezeichnet: http://blogs.sun.com/security/entry/multiple_vulnerabilities_in_bind_dns

Die Sicherheits-Experten von F-Secure finden Amazons Passwort-Regeln etwas eigenartig. Den Amazon Cloud Player powered by Amazon Cloud Drive mag der Tester. Dass der Dienst in der Datenwolke aber ein Passwort "12345" zulässt, findet er aber nicht so gut. Immerhin wurde ein Passwort "1234" als zu kurz angemeckert. Ebenso hat der Experte zehn Mal hintereinander ein falsches Passwort angegeben und fragt sich, wann die Brute-Force-Verteidigung anschlägt: http://www.f-secure.com/weblog/archives/00002130.html

Am Wochenende wurden Details über die Inhalte der Datenbank hinter der MySQL-Webseite veröffentlicht. Zugriff verschafften sich die Hacker angeblich durch eine Lücke in MySQL.com. Der Einbrecher hat sich angeblich durch eine SQL-Einspeisung unerlaubten Zugriff verschafft: http://seclists.org/fulldisclosure/2011/Mar/309 (jdo)