Sicherheitslücken in veeam geschlossen
Veeam Backup & Replication Server können für Angriffe genutzt werden, wenn sie nicht auf die aktuelle Version gebracht wurden. Angreifer könnten Schadcode ausführen. Zwei kritische Sicherheitslücken (CVE-2022-26500, CVE-2022-26501) sind genannt. Betroffen ist der "Veeam Distribution Service" auf TCP-Port 9380. Ein Angreifer kann ohne Authentifizierung zugreifen. Der Hersteller schreibt, dass Versionen 10a build 10.0.1.4854 P20220304 und 11a build 11.0.1.1261 P20220302 gegen die Attacken sicher sind.Wer noch die Ausgabe 9.5 (z. B. 9.5 Update 4) im Einsatz hat, muss auf eine aktuelle Version upgraden. Die veeam-Version wird Ihnen beim Start der Konsole oder in der Systemsteuerung unter Programme und Funktionen angezeigt. Für ein Upgrade auf die aktuelle Version benötigen Sie einen aktiven Wartungsvertrag und gültige Zugangsdaten zum veeam-Portal. Übrigens: Wer seine Server schon in die Microsoft Azure (IaaS) Cloud umgezogen hat, ist von den Problemen nicht mehr betroffen, denn der Einsatz einer Datensicherungs für On-Premises entfällt mit 100% Cloud Migration. Natürlich kümmert sich Microsoft auch bei der SaaS Variante um eine Datensicherung.
Kategoriebild
Libreoffice 7 Sicherheitslücke
Die meisten Firmen setzen auf die Standardlösung: Microsoft 365 (oder Microsoft Office). Dabei ist man nur bei der Miet-Variante mit bester Sicherheit und schnellen Updates versorgt. Bei den Kaufvarianten (z. B. Office 2021 Home & Business) gibt es weder effizienten Makroschutz, noch neue Funktionen und Sicherheitsupdates nur alle 4 Wochen am Patchday. Diese wiederum kann man dann auch nicht zentral verteilen. Ungeachtet davon setzen einige von Ihnen Libreoffice (oder zumindest den Writer davon) ein, um ausfüllbare PDF-Formulare zu erstellen (Meines Wissens die einzige kostenlose Software, die das kann). Wenn Sie Libreoffice in Ihrem Software-Inventar finden, aktualisieren Sie bitte auf die Version 7.4.2.3 (bestenfalls in der x86_64 Variante). Ansonsten kann durch simplen HTML-Code, der ein einem Dokument ist, Schadcode auf die Zielsysteme eingeschleust werden. Libreoffice hat leider keinen automatischen Updater integriert, daher ist die Aktualisierung von Hand vorzunehmen Makros und Sicherheitslücken in Makros gibt es nicht nur in Microsoft Office, sondern auch in Libreoffice!https://www.libreoffice.org/about-us/security/advisories/cve-2022-3140/
Kategoriebild
Ende der Sicherheitsupdates Server 2012 R2
Der 10. Oktober 2023 ist der letzte "Patchday", an dem Microsoft #Sicherheitsupdates #endoflife für sein Server-Betriebssystem "Windows Server 2012 R2" ausrollt. Danach ist mit mehr oder weniger kritischen Sicherheitslücken zu rechnen, die nicht mehr geschlossen werden. Diese Server sind dann - nicht nur als Terminalserver - angreifbar und werden von Kriminellen genutzt werden, um Schadsoftware zu installieren und Daten- und Identitätsdiebstahl zu betreiben. [next_event date="10.10.2023"] Bin ich betroffen? Server 2012 R2 sind in der Regel erkennbar an der türkisfarbenen Taskleiste mit Startknopf links: Windows Server 2012 R2 Taskleiste Was kann ich tun? Neuinstallation der Server auf Server 2019 und Umzug der Daten und Programme sind empfehlenswert. Server 2016 ist auch möglich, die Sicherheitsupdates enden hier aber bereits im September 2025 - also nur zwei Jahre später. Bei Verwendung der Server On-Premises müssen dazu meist neue CALS und teure Server-Betriebssystem-Lizenzen (meistens in der Datacenter-Edition) angeschafft werden. Nur wenn Sie Ihre VM-Hosts bereits mit einer Server 2019 oder neuer Lizenz angeschafft haben, ist die Migration auf eines der Betriebssysteme ohne weitere Lizenzkosten. Das gilt auch nur dann, wenn die Windows Server CALS ebenfalls auf eins der neueren Betriebssysteme lauten. Zusätzlich müssen bei Terminalservern die RDS-CALs zum neuen Betriebssystem passen - ansonsten neu angeschafft werden. Wenn Sie die betroffenen bereits in Microsoft Azure (IaaS) betreiben, können Sie auf den Server 2012 R2 Betriebssystemen noch weiter drei Jahre Updates installieren, da im Rahmen der Cloud-Miete die sonst kostenpflichtigen ESU Updates bezogen werden können. Eine Modernisierung ist dennoch empfehlenswert, um die Update-Handlungen zu vereinheitlichen. Zumal…
erstes Bild
Kategoriebild
PDF24 Creator sinkt in Bewertung
[Update 08.06.2024] - es gibt wieder eine aktuelle 9.x Version in 64-Bit und ohne Java/Webview). Seit Version 11.2 stellt der Hersteller der beliebten PDF-Drucker-Software (die mit dem Schaf) einige der in der GUI integrierten Funktionen auf JAVA um. Bis Version 11.1.0 konnte man das JRE- Unterverzeichnis (rund 200 MB), den WebView2-Ordner (rund 400 MB) löschen und viele Funktionen wie die Datei-Tools (im Prinzip alles außer der Toolbox, die für die meisten Nutzer im Umfeld unserer Redaktion keine nennenswerten Zusatzfunktionen enthielt) trotzdem nutzen. Update mit Version 11.10.0: Nun kann man Webview2 bei der Installation abwählen. Ist diese Komponente bereits in Windows aktiv, wird diese verwendet. Das hat den Vorteil, dass die Installation von Microsoft automatisch aktualisiert wird und die Installationsdateien des Edge Browsers verwendet. Es gibt somit keine doppelten Bibliotheken mehr im System. Liebe Entwickler von #PDF24 Creator: Jetzt braucht Ihr nur noch JAVA ebenfalls optional zu machen. Wenn man JAVA abwählt, muss die Verbinden-Funktion wieder QPDF verwenden und am Besten das Toolbox Symbol ausgeblendet werden. Dann habt Ihr auch wieder die Gunst aller Anwender, die so ticken die Redaktion - und unsere 10 Punkte Bewertung wieder. Seit Version 11.2 wird auch für Funktionen wie die Datei-Tools JAVA genutzt. Löscht man den enthaltenen JRE-Ordner, muss nun Adoptium Temurin JAVA Runtime 19/64-Bit installiert sein und alle drei Monate von Hand aktualisiert werden. Immerhin funktioniert OpenJDK (Adoptium Temurin) und es muss kein lizenzpflichtiges JAVA von Oracle sein. Gleiches gilt für die WebView2 Engine – und das obwohl Microsoft diese, wenn Edge installiert ist,…
Kategoriebild
Erneut Zero-Day Lücken in Exchange
Wieder wurden Sicherheitslücken in Exchange Servern 2013,2016 und 2019 entdeckt. Betroffen sind mit Sicherheit auch ältere Versionen - dafür werden aber keine Patches mehr bereitgestellt. Microsoft hat die Sicherheitslücken (CVE-2022-41040, CVE-2022-41082) bestätigt. Hinweis: Die Online-Version im Rahmen von Microsoft 365 / Exchange online ist laut Microsoft nicht betroffen. Da es aber für die Exchange Server Versionen 2013-19 noch keinen Patch gibt und die Lücken bereits von Kriminellen ausgenutzt werden, stellt Microsoft einen Notfall-Patch bereit, der unbedingt von Administratoren auf betroffenen Servern installiert werden sollten. https://microsoft.github.io/CSS-Exchange/Security/EOMTv2/Microsoft Workaround gegen Sicherheitslücke und Anleitung
Kategoriebild
UEFI-Sicherheitslücke in Notebooks und PCs
vor einigen Monaten sorgte eine kritische Sicherheitslücke in lenovo Consumer Notebooks für Handlungsbedarf. Nun wurden auch Sicherheitslücken in den UEFI (BIOS) anderer Hersteller entdeckt und es sind auch neuere Thinkpads und auch die bekannte Tiny ThinkCentre Reihe betroffen. Sofern Sie die Windows 10 App "lenovo Vantage" installiert und in Betrieb genommen haben (Bedingungen bestätigen beim ersten Aufruf), sollte die App über das veerfügbare Sicherheitsupdate informieren und dringend die Installation empfehlen. Wenn nicht, oder wenn nur SystemUpdate installiert ist, aber nicht regelmäßig nach Updates sucht, stehen die betroffenen Modelle in der folgenden Liste (hier gefiltert auf Thinkpads - suchen Sie nach ThinkCentre und Sie finden auch die Tiny Modelle, die aktualisiert werden müssen. lenovo Multi Vendor BIOS Security Vulnerabiliies Patch Listehttps://support.lenovo.com/de/en/product_security/LEN-94953#ThinkPad
Kategoriebild
Lenovo UEFI Firmware-Lücken nicht in Thinkpads
Wieder einmal haben Sicherheitsforscher in zahlreichen lenovo Notebook-Modellen kritische Sicherheitslücken entdeckt, die durch Firmware-Updates des Herstellers geschlossen wurden. Die gute Nachricht. Im geschäftlichen Umfeld setzen wir ausschließlich Notebooks der "ThinkPad" Serien ein, die nicht nur bessere Verarbeitung und Robustheit aufweisen, sondern auch wertige Chipsätze und im Wesentlichen gut verarbeiteter Firmware. Zwar kann bei einem Firmware-Update auch hier was schief laufen - dafür gibt es aber die Zaubertaste, die so manchen Technikereinsatz/Mainboardtausch überflüssig macht. Fazit Wer Thinkpads (oder Thincentre Tiny) Geräte einsetzt, braucht keine Sicherheitslücken zu schließen und ist von den Lücken nicht betroffen. Wer dennoch die Consumer-Serie (ThinkBook und "Yoga ohne Thinkpad" einsetzt, kann im folgenden Artikel lesen, was zu tun ist https://support.lenovo.com/de/de/product_security/len-91369lenovo Supportseiten für Consumer Geräte
Kategoriebild
Sicherheitslücken in PHP 7 – 8.1
Update: Nach meinen Recherchen haben die führenden Hosting-Provider (all-inkl.com, Strato, ionos...) das PHP-Punktrelease 8.0.20 installiert, so dass diese Plattformen derzeit vor Angriffen gegen diese Lücken abgesichert sind . In den aktuell von der Community unterstützten Versionen von PHP wurden einige kritische #Sicherheitslücken geschlossen (CVE-2022-31625, CVE-2022-31626). Wer Webserver im Internet betreibt oder wie üblich bei einem Provider hosten lässt, sollte prüfen, ob er die derzeit empfohlene Version 8.0.20 im Einsatz hat, ansonsten auf die Version aktualisieren. Viele Webseiten basieren auf #Wordpress, dem quelloffenen Content-Management System. Aber auch Joomla oder Typo3 setzen PHP und eine MySQL/MariaDB als Datenbank ein. Durch die Lücken werden diese Webserver angreifbar und könnten unter fremde Kontrolle gebracht werden. Das quelloffene #OpenAudit Classic setzt ebenfalls PHP und die MariaDB ein. Das Risiko ist hier zwar deutlich geringer, da die Webserver nicht im Internet erreichbar sind, eine Aktualisierung ist aber empfohlen. Auf unseren Downloadquellen ist ab Version 2022-06-xx die aktuelle PHP Version 8.0.20 enthalten. Apache und MariaDB sind ebenfalls auf dem jeweils aktuellen Stand. Wer noch alte PHP Versionen wie Version 5.x einsetzt, sollte das nicht im Internet tun. In einem Intranet oder Extranet ist das Risiko aufgrund der eingeschränkten Teilnehmerzahl zwar geringer, aber grundsätzlich vorhanden. Angreifer müssten sich dazu zunächst im Intranet/Extranet anmelden.
Kategoriebild
Sicherheitslücken und Workarounds
Update: Mit dem Patchday Juni 2022 (14.06.2022) wurde zumindest die MSDT (auch als Follina bekannte Sicherheitslücke) geschlossen. Ob die Search-Dienst Lücke noch weiter besteht, ist weiter offen. Dennoch kann es nicht schaden, die beiden Dateiklassen-Zuordnungen – wie unten beschreiben – abgeschaltet zu lassen. Die Search Lücke ließe sich mit einigem Aufwand immer noch nutzen, ist aber von der Risiko-Klassifizierung geringer. In #Windows (prinzipiell sind auch Terminalserver und die anderen Serverkonsolen betroffen, nicht nur Clients) gab es bereits letzte Woche kritische #Sicherheitslücken im "MSDTC Handler" - das ist die Funktion, die Hilfe und Problembehandlung ausführt. Durch geschicktes Manipulieren kann ein Angreifer Code ausführen und somit Malware aus dem Internet ausführen. Wir hatten darüber berichtet. Ist Microsoft Office in einer Kaufversion (2013-2021) installiert, gibt es kein administratives Mittel, die Lücke effektiv zu stopfen. Allerdings kann man (auch über eine Gruppenrichtlinie) Registrierungsschlüssel setzen (bzw. hier entfernen). Gestern kam eine weiter Lücke dazu, die sich auf den URL-Handler: "ms-search" bezieht. Ich selbst kenne keinen, der diese beiden Funktionen in Windows aktiv nutzt, daher habe ich die Schlüssel vorher nicht gesichert, sondern sie einfach entfernt. Das funktioniert wie folgt (bei Risiken und Nebenwirkungen sind Sie natürlich selbst verantwortlich): reg delete HKEY_CLASSES_ROOT\search-ms /f reg delete HKEY_CLASSES_ROOT\ms-msdt /f
Kategoriebild
Lenovo UEFI-Sicherheitslücken
Im Security Advisory Report „Lenovo Notebook BIOS Vulnerabilities“ führt lenovo drei kritische Sicherheitslücken CVE-2021-3970, CVE-2021-3971 und CVE-2021-3972 auf und empfiehlt betroffenen Anwendern, die UEFI-Firmware ihres Notebooks umgehend zu aktualisieren. Gute Nachricht: sieht man die Liste durch, tauchen dort keine "Thinkpad" Modelle auf. Bei den uns bekannten Modellen findet die App "Lenovo vantage" auch kein Update. Sollten Sie dennoch die Consumer-Serie von Lenovo im Einsatz haben und Ihre Geräte auf der Liste wiederfinden, aktualisieren Sie zeitnah das BIOS/UEFI. Wenn Sie Thinkpads wie das Thinkpad Yoga X13 oder Thinkcentre Modelle wie das Tiny M70Q einsetzen, ist es dennoch empfehlenswert, über die Vantage App die jeweils aktuellste UEFI-Version und Intel IME Firmware Updates installiert zu haben. Eine "Aktualisierungen-Suche" in der App schafft Ihnen Klarheit.
Kategoriebild
Sicherheitslücke in 7-ZIP
wie mit CVE-2022-29072 bekannt wurde, enthält auch die aktuelle 7-ZIP Version 21.07 #Sicherheitslücken in der Hilfedatei (7-zip.chm). Der Hauptentwickler des Projekts hat sich noch nicht dazu geäußert, der Workaround ist aber recht einfach zu bewerkstelligen: Löschen Sie die Hilfe-Datei 7-zip.chm. Für die 64-Bit-Version liegt diese im angezeigten Pfad. Wenn Sie 7-zip über eine Stapeldatei installieren, lautet demnach die Unattended-Befehlskette: echo 7-Zip... 7z2107-x64.exe /S rem *** Sicherheitslücke von 2022 - Helpdatei löschen del "C:\Program Files\7-Zip\7-zip.chm" /Q Da Version 21.07 andere bekannte Sicherheitslücken geschlossen hat, ist die Kombination aus 7-ZIP 21.07 (64-Bit) und dem Löschen der Hilfedatei derzeit die sicherste Möglichkeit, mit gepackten Dateien umzugehen. Das liegt auch daran, dass die im Windows Dateiexplorer integrierte ZIP-Entpackfunktion eine Vorschaufunktion hat, die immer mal wieder Sicherheitsrisiken enthielt. 7-ZIP erkennt auch mehr Formate und ist Open-Source, während WINRAR und WINZIP kostenpflichtig sind. Da die Software ein Open-Source-Projekt ist, dürfte das Risiko, dass der Chef-Entwickler ein Russe ist, gering ausfallen, zumal die Software keinen automatischen Updater hat, der "nach Hause telefoniert", und schädliche Programmzeilen den anderen Entwicklern und der Community wegen Quellcode-Einsicht sofort auffallen würden. Entfernen Sie alte Versionen von 7-ZIP, installieren Version 21.07 (64-Bit) und löschen danach die 7-zip.chm Hilfedatei7-Zip 21.07
Kategoriebild
Java: Spring4Shell Sicherheitslücke
vor einigen Tagen wurde im #Java Basierten Spring Framework kritische #Sicherheitslücken Spring4Shell entdeckt und mittlerweile auch geschlossen. Nach intensiver Recherche konnten wir keine Software entdecken, die das Framework im uns bekannten Umfeld einsetzt. Außerdem erfordert das Ausnutzen der Lücke eine recht exotische Installationsanordnung. Das bedeutet nicht, dass Sie im eigenen Umfeld diese Konstellation einsetzen könnten. Diese Lücke zeigt jedoch wieder, dass der Einsatz von Java-basierter Software grundsätzlich ein Risiko darstellt. Da es keine zentrale Liste gibt, die beschreibt, welche JAVA-Bibliotheken eine Software-Anwendung einsetzt und jede Java-Version spätestens nach drei Monaten ohne Updates Sicherheitslücken enthält, bleibt der Einsatz von JAVA kritisch. [faq openfirst=0 numbered=1] Wann bin ich von der Lücke betroffen|=|Nur, wenn Sie JAVA in Verbindung mit einer JAVA-basierten Software im Einsatz haben, die das Spring Framework einsetzt|| Was kann ich tun?|=|Die effektivste Methode ist, sich von allen JAVA-Installationen zu trennen, und wenn Software mit JAVA im Einsatz ist, nach Alternativen zu suchen|| Ist Spring4Shell so gefährlich wie LOG4Shell?|=|Nein. Erstens setzen wesentlich weniger JAVA-Projekte auf dieses Framework als das bei LOG4J der Fall ist, zweitens lässt sich die Remote Code Lücke nur in Verbindung mit einer in speziellem Modus gestarteten TOMCat Webserver nutzen|| Wo bekomme ich den Patch her?|=|Wenn Sie eine Software identifiziert haben sollten, die das Framework benutzt, wenden Sie sich bitte an den Hersteller der Software[/faq] Umgang mit Java Vorhandene JAVA-Installationen sollten darauf geprüft werden, ob sie noch von Programmen genutzt werden - wenn nicht: entfernen!Ist die Java-Installation von Oracle, sollte sie grundsätzlich sofort entfernt und durch Adoptium Temurin…
Kategoriebild