Verschiedene Versionen von Proxmon Backup Server sind verwundbar. Angreifer können an zwei Sicherheitslücken ansetzen.

Diverse Sicherheitsprobleme

Die Entwickler weisen im Forum auf die Schwachstellen hin. Bislang sind dazu keine CVE-Nummern und somit keine Einstufung des Bedrohungsgrads bekannt. Das CERT Bund vom BSI stuft die Gefahr als „hoch“ ein.

Von einer Schwachstelle ist ausschließlich der Proxmon-Versionsstrang 3.x betroffen. Nutzen Angreifer die Lücke erfolgreich aus, können sie Backup-Snapshots manipulieren, sodass eine Wiederherstellung unmöglich wird. Hier schafft die Ausgabe 3.4.1-1 Abhilfe.

Bei der zweiten Schwachstelle kommt es bei einer Konfiguration mit S3 zu Problemen, und Angreifer können unbefugt auf Daten zugreifen. Dagegen ist Proxmox Backup Server 4.0.18-1 gerüstet.

Ob es bereits Attacken gibt, ist zurzeit nicht bekannt. Unklar bleibt auch, woran Admins bereits attackierte Systeme erkennen können.

(des)

In dieser Episode des Podcasts Software Testing sprechen Richard Seidl, Alexander Weiss und Martin Heininger über die Praxis moderner Embedded Systems Tests. Geräte im Test zu simulieren hilft, hat aber Grenzen, beispielsweise im Bereich Safety.

Ein Problem ist die Beobachtbarkeit: Klassische Instrumentierung bläht Code auf und verändert Laufzeiten. Ihr Gegenentwurf lautet Embedded Trace. Die CPU funkt Ereignisse hardwareseitig nach außen, ein Field-Programmable Gate Array (FPGA) wertet live aus. So lässt sich Code-Coverage im Integrationstest auf echter Hardware messen.

Bei diesem Podcast dreht sich alles um Softwarequalität: Ob Testautomatisierung, Qualität in agilen Projekten, Testdaten oder Testteams – Richard Seidl und seine Gäste schauen sich Dinge an, die mehr Qualität in die Softwareentwicklung bringen.

Die aktuelle Ausgabe ist auch auf Richard Seidls Blog verfügbar: „Dynamische Analyse für Embedded Systems – Alexander Weiss, Martin Heininger“ und steht auf YouTube bereit.

(mdo)

Auf dem Kurznachrichtendienst Threads von Meta kann man jetzt Beiträge veröffentlichen, die nach 24 Stunden automatisch aus dem Netz genommen werden. Damit könne man jetzt „ungefilterte Gedanken“ publik machen, begründen die Verantwortlichen den Schritt. Die „Geister-Beiträge“ („ghost posts“) werden von einer gestrichelten Sprechblase umschlossen und damit visuell merklich von den normalen abgegrenzt. Gleichzeitig wird darunter nicht angezeigt, wie oft die Beiträge mit einem Herzen versehen wurden, das bekommt nur der Verfasser oder die Verfasserin angezeigt. Antworten auf solche Beiträge landen in dem jeweiligen Postfach und sind damit ebenfalls nicht öffentlich.

Weniger Risiko beim Schreiben

Mit den „Geister-Beiträgen“ will Meta die User auf Threads dazu animieren, Gedanken oder Sichtweisen zu veröffentlichen, ohne sich vorher darüber Gedanken machen zu müssen, wie perfekt die sind, oder ob die auch noch in Jahren öffentlich sein sollen. Damit könne man leichter etwas Neues probieren und spontaner schreiben. Nach 24 Stunden werden die Beiträge archiviert und sind nur noch für die Person einsehbar, die sie erstellt hat. Gegenüber TechCrunch hat Meta ausgeführt, dass die Beitragsart mehr Konversationen ermöglichen soll, weil sie das Risiko verringern, dass den Verantwortlichen alte Beiträge später nicht mehr genehm sind oder sogar für Probleme sorgen.

Die Neuerung auf Threads ist jetzt nicht der erste Versuch eines sozialen Netzwerks mit einem automatischen Verfallsdatum für Beiträge. Schon Ende 2020 wollte Twitter Nutzern und Nutzerinnen mit den sogenannten „Fleets“ die Angst vor dem Veröffentlichen nehmen. Aber schon wenige Monate später wurden die nach 24 Stunden verschwindenden Tweets wegen des geringen Interesses wieder zurückgezogen. Meta hat dagegen mit verschwindenden Beiträgen auf Instagram, Facebook und WhatsApp gute Erfahrung gesammelt. Auf Threads wurde die neue Funktion jetzt zur Einführung fleißig ausprobiert, ob das Interesse daran bleibt, muss sich aber erst noch zeigen.

(mho)