Secure by Design: CISA und FBI wollen SQL-Injections den Garaus machenIm Rahmen der "Secure by Design"-Kampagne geben CISA und FBI Hinweise, wie Entwickler SQL-Injection-Lücken vermeiden können.
Datenbanken schützen: Drei freie SQL-Firewalls im TestEin SQL-Proxy ist eine Firewall für Datenbanken, die Angriffe auf SQL-Ebene abwehrt. Drei kostenfreie SQL-Firewalls zeigen, wie sie mit Angriffen umgehen.
heise+ Aktionsangebot 1 Jahr heise+ zum Aktionspreis: Jetzt heise+ für nur 1,90 € pro Woche lesen und 1 Jahr lang geballtes, brandaktuelles IT- und Tech-Wissen sichern. Unbegrenzter Zugriff auf alle heise+ Beiträge inklusive der Inhalte aller Heise-Magazine. Nur bis zum 31. Mai!
AlertPostgreSQL lässt sich beliebiges SQL unterjubelnEine hochriskante Schwachstelle in der Datenbank PostgreSQL ermöglicht Angreifern, beliebige SQL-Befehle einzuschleusen.
Große Unternehmen: Im Schnitt 11.000 interne SicherheitslückenIm Bereich Security hat Deutschland laut einem Bericht viel Nachholbedarf. Ein zur Schwarz-Gruppe gehörendes IT-Unternehmen stellt ein desaströses Zeugnis aus.
Programmiersprache PHP: Updates für 8.x beheben Bug im Zusammenspiel mit SQLiteEine Funktion, die Datenbankabfragen in Anführungszeichen setzt, kann zu unerwarteten Ergebnissen führen und sich potenziell für SQL-Injection ausnutzen lassen.
WordPress: Erneute Sicherheitslücke im Plugin Ninja FormsDas beliebte Formular-Framework ist erneut von einer Sicherheitslücke betroffen. Das WordPress-Plugin ist auf mehr als einer Million Webseiten aktiv.
AlertWordPress-Plugin: WooCommerce schließt kritische SicherheitslückeWordPress hat nach dem Veröffentlichen des Patches ein automatisiertes Zwangsupdate veranlasst. Trotzdem könnten noch nicht alle Shops versorgt sein.
SQL Injection: Gezielte Maßnahmen statt Block ListsBei Schwachstellen im Web nimmt SQL Injection nach wie vor eine führende Rolle ein, dabei ist die Abwehr gar nicht schwer.
SAP-Sicherheit: SQL Injections mit SAPs Open SQLOpen SQL, SAPs SQL-Interpretation, vermindert die Abhängigkeiten zu Datenbanksystemen. Leider gibt es auch hier einige Schwachstellen.
Akute Gefahr für Überwachungs-Software Nagios XIEin MetaSploit-Modul nutzt mehrere Schwachstellen in Nagios XI so geschickt aus, dass ein Angreifer den Monitoring-Server übernehmen kann.
Jetzt patchen! SQL-Injection-Lücke bedroht WordPressDie abgesicherte WordPress-Version 4.8.3 ist erschienen. Nutzer sollten diese zügig installieren, da Angreifer Webseiten via SQL-Injection-Attacke übernehmen könnten.
WordPress-Plug-in NextGEN Gallery kann sich an SQL-Anfragen verschluckenUnter gewissen Voraussetzungen können Angreifer mittels manipulierter SQL-Anfragen Nutzerdaten von WordPress-Webseiten abgreifen.
Wordpress-Plugin bleibt ungefixt Ein Sicherheitsforscher deckte zwei Lücken in der Wordpress-Erweiterung Event-Registration auf; die Hersteller reagieren jedoch nicht.
Update unbedingt installieren: Joomla im Fokus von AngreifernNutzer von Joomla sollten das in der vergangenen Woche veröffentlichte Update dringend einspielen. Denn Angreifer attackieren aktuell massenweise Webseiten, die eine verwundbare Version einsetzen.
Joomla-Patch: Kritische SQL-Injection-Lücke geschlossenIn aktuellen Versionen des Content Management Systems Joomla klafft eine Lücke, über die Angreifer die Webseite in ihre Kontrolle bringen können. Die Entwickler empfehlen Admins, das Update so schnell wie möglich einzuspielen.
Sicherheitslücken gestopft: SAP macht HANA sichererSAP hat zwölf Schwachstellen innerhalb der In-Memory-Plattform HANA abgedichtet.
Mutmaßlicher Kopf hinter Riesen-Kreditenkartenhack an USA ausgeliefertZwei Jahre nach seiner Festnahme in den Niederlanden ist Wladimir Drinkman an die USA ausgeliefert worden. Ihm wird eine führende Beteiligung an einem der größten Hackerangriffe in der Geschichte der USA vorgeworfen.
Drupal-Lücke mit dramatischen FolgenJede Drupal-Installation, die am 15. Oktober nicht binnen Stunden gepatcht worden ist, muss man als kompromittiert betrachten. Mit dieser drastischen Einschätzung wendet sich das Drupal-Team an die Öffentlichkeit. Wohl dem, der ein Backup hat.
Zwei Patches schließen SQL-Injection-Lücken in Ruby on RailsZwei recht ähnliche Lücken erlaubten SQL-Injections auf Websites, die auf Ruby on Rails 2.0.0 bis 3.1.18 sowie auf 4.x aufsetzen. In mehreren Anläufen haben die Rails-Entwickler die Lücken nun geschlossen.
Schon wieder hunderttausende Kundendaten durch xt:Commerce-Lücke geklautEine weitere Sicherheitslücke in xt:Commerce 3 und einigen der Nachfolger wird derzeit ausgenutzt, um die Namen, Mail-Adressen und Passwort-Hashes in Online-Shops zu entwenden. Betroffen sind über 230.000 Kunden vor allem aus Deutschland und Österreich.
lost+found: Was von der Woche übrig bliebHeute mit: Klopftechniken, einem angriffslustigen Google-Bot, angreifbaren Web-Apps, vorhergesagten PHP-Zufallszahlen, nützlichen Python-Skripten und den Defcon-Mitschnitten.