TecChannel Sicherheits-Report
Kritische Lücken bei Siemens, IBM und Oracle. Amazons unsichere Passwörter und MySQL durch SQL-Einspeisung gehackt
Insgesamt sieben Schwachstelle in Siemens FactoryLink 8.x lassen Enthüllung sebsibler Informationen, DoS-Angriffe und Systemzugriff zu. Die Schwachstellen wurden veröffentlicht. Ein Update steht derzeit nicht zur Verfügung: http://aluigi.altervista.org/adv/factorylink_1-adv.txt, http://aluigi.altervista.org/adv/factorylink_2-adv.txt, http://aluigi.altervista.org/adv/factorylink_3-adv.txt, http://aluigi.altervista.org/adv/factorylink_4-adv.txt, http://aluigi.altervista.org/adv/factorylink_5-adv.txt, http://aluigi.altervista.org/adv/factorylink_6-adv.txt
IBM hat eine Sicherheitslücke in WebSphere Data Power XC10 Appliance 1.x bestätigt. Sie hängt mit der darin enthaltenen Java-Version zusammen. Welche Auswirkungen die Sicherheitslücke haben kann, wird derzeit nicht verraten. Bestätigt ist die Schwachstelle für Firmware-Versionen vor 1.0.0.5. Die Schwachstelle ist als kritisch eingestuft. Administratoren sollten das neueste Update einspielen: http://www.ibm.com/support/docview.wss?uid=swg24029502
Oracle hat Updates für Solaris zur Verfügung gestellt. Diese Flicken bereinigen zwei Schwachstellen in BIND und lassen Datenmanipulation oder DoS-Angriffe zu. Betroffen sind Solaris 8, 9 und 10. Die Lücken werden als kritisch bezeichnet: http://blogs.sun.com/security/entry/multiple_vulnerabilities_in_bind_dns
Die Sicherheits-Experten von F-Secure finden Amazons Passwort-Regeln etwas eigenartig. Den Amazon Cloud Player powered by Amazon Cloud Drive mag der Tester. Dass der Dienst in der Datenwolke aber ein Passwort "12345" zulässt, findet er aber nicht so gut. Immerhin wurde ein Passwort "1234" als zu kurz angemeckert. Ebenso hat der Experte zehn Mal hintereinander ein falsches Passwort angegeben und fragt sich, wann die Brute-Force-Verteidigung anschlägt: http://www.f-secure.com/weblog/archives/00002130.html
Am Wochenende wurden Details über die Inhalte der Datenbank hinter der MySQL-Webseite veröffentlicht. Zugriff verschafften sich die Hacker angeblich durch eine Lücke in MySQL.com. Der Einbrecher hat sich angeblich durch eine SQL-Einspeisung unerlaubten Zugriff verschafft: http://seclists.org/fulldisclosure/2011/Mar/309 (jdo)