Zugehörige Heise-Artikel:

• xz-Attacke: Hintertür enträtselt, weitere Details zu betroffenen Distros
• Hintertür in xz-Bibliothek gefährdet SSH-Verbindungen

[...] In Spitzenzeiten entstanden dadurch 100.000 verseuchte Repositories auf der beliebten Code-Plattform GitHub – die Zahl wuchs so schnell, dass GitHub mit dem Löschen nicht hinterherkam.

Der Trick, den sich die Hintermänner dieser Masche zunutze machen, ist simpel: Sie klonen das Repository eines beliebten Projekts, versetzen es mit Schadcode und bestücken damit Tausende von Repository-Klonen. Indem Sie diese dann in den Python Package Index (PyPI) einschleusen und in diversen Foren und Social-Media-Kanälen bewerben, stolpern unbedarfte Entwickler auf der Suche nach passenden Bibliotheken darüber und binden sie in ihre Projekte ein.

NIST: CVE-2023-40547 Detail

Informationen zu CVE-2024-0985

Drei neue Lücken in der zentralen Linux-Bibliothek glibc beschäftigen derzeit die Entwickler und Distributoren des quelloffenen Betriebssystems. Über die Sicherheitslecks können Nutzer ihre eigenen Privilegien ausweiten und – nach einigen Versuchen – Code mit den Privilegien des Admin-Nutzers "root" ausführen. Die großen Linux-Distributionen haben bereits reagiert und aktualisierte Pakete veröffentlicht.

[...] Diese Bedingung beeinflusst auch die Risikobewertung für CVE-2023-6246, die ein hohes Risiko ergibt. Zwar ist kein offizieller CVSS-Wert bekannt, mit den bekannten Details ergibt sich jedoch ein Punktwert von 7,8/10 (CVSS-Vektor: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H/E:F/RL:O/RC:C).

Qualys Security Advisory

CVE-2023-6246

Meine Debian-Systeme sind wohl zu alt, bei mir klappte der im Artikel angegebene Exploit nicht.

Allein in Deutschland gibt es mehr als eine Million über das Internet erreichbare SSH-Server, die nicht gegen Terrapin gepatcht sind.

Für all jene, die einen SSH-Server betreiben, bieten die Forscher der Ruhr Universität Bochum, die Terrapin im Dezember vorgestellt haben, auf Github einen Schwachstellen-Scanner an. Damit lässt sich die Anfälligkeit überprüfen.

https://github.com/RUB-NDS/Terrapin-Scanner

CVE-2023-7101:

Spreadsheet::ParseExcel version 0.65 is a Perl module used for parsing Excel files. Spreadsheet::ParseExcel is vulnerable to an arbitrary code execution (ACE) vulnerability due to passing unvalidated input from a file into a string-type “eval”. Specifically, the issue stems from the evaluation of Number format strings (not to be confused with printf-style format strings) within the Excel parsing logic.

Proof of concept @ github: https://github.com/haile01/perl_spreadsheet_excel_rce_poc

Da bin ich gerade drüber gestolpert und ich dachte, dass könnte für diese Community interessant sein.

Unter Linux scheint das schon gepatcht zu sein aber Android-User < Android 11 bzw. Android-User, deren OS nicht mehr vom Hersteller supportet wird, sollten wohl sicherheitshalber Bluetooth ausschalten.

CVE:

https://www.cve.org/CVERecord?id=CVE-2023-45866

Details:

https://github.com/skysafe/reblog/tree/main/cve-2023-45866

HN Thread:

https://news.ycombinator.com/item?id=38661182

Maßnahmen gegen Ransomware

• 1 - Security-Grundwissen verbreiten
• 2 - Mehr IT-Sicherheitsexperten einstellen
• 3 – Gesetzliche Rahmenbedingungen schaffen
• 4 – Lösegeldzahlungen verhindern
• 5 – Fördermittel bereitstellen
• 6 – Forschung intensivieren

Download PDF: BSI Leitfaden zur Basis-Absicherung nach IT-Grundschutz

[...] Der nutzt Punycode-Zeichen, um sich als vermeintlich echte KeePass-Webseite auszugeben. Punycode kodiert Sonderzeichen in URLs, von denen einige unserem lateinischen Alphabet ähneln.

Tiefergehende Ergänzung zum vorigen Post: Post-Quanten-Kryptografie: NIST in der Kritik wegen "dummen Rechenfehlers"​

2^80^ statt korrekter 2^41^, also nichts Gravierendes.