Connect with us

Datenschutz & Sicherheit

Sieben kritische Sicherheitslücken mit Höchstwertung bedrohen Coolify


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Admins von Platform-as-a-Service-Umgebungen auf der Basis von Coolify sollten ihre Instanzen zügig auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer unter anderem an sieben „kritischen“ Sicherheitslücken mit Höchstwertung (CVSS Score 10 von 10) ansetzen, um Server vollständig zu kompromittieren.

Weiterlesen nach der Anzeige

Scans von Sicherheitsforschern von Censys zeigen, dass sich der Großteil verwundbarer Systeme in Deutschland befindet. Weltweit sind es mehr als 52.000 Instanzen. Hierzulande fanden sie knapp über 14.800 Systeme. Ob es bereits Attacken gibt, ist zurzeit unklar. Admins sollten mit dem Patchen aber nicht zu lange zögern.

Ansatzpunkte für Angreifer

Auch wenn Angreifer in den meisten Fällen authentifiziert sein müssen, ist der Großteil der Schwachstellen mit dem Bedrohungsgrad „kritisch“ eingestuft. Setzen Angreifer erfolgreich an den Lücken an, können sie etwa als Rootnutzer Schadcode ausführen und so die volle Kontrolle über Systeme erlangen (etwa CVE-2025-64424). Außerdem sind Zugriffe auf eigentlich geschützte private SSH-Schlüssel möglich (CVE-2025-64420), sodass sich Angreifer unbefugt Zugriff verschaffen können.

Fehlende Sicherheitspatches

Insgesamt sind 16 Lücken bekannt. Laut Einträgen auf GitHub (siehe Ende dieser Meldung) sind derzeit aber nur Sicherheitsupdates für acht Schwachstellen verfügbar. Wann die Entwickler die verbleibenden Lücken schließen, ist derzeit unklar.

Diese Patches sind zurzeit verfügbar:

Weiterlesen nach der Anzeige

  • v4.0.0-beta.420.7
  • >= 4.0.0-beta.451

Weiterführende Informationen zu den Lücken bedrohten Ausgaben und Sicherheitsupdates finden Admins in den verlinkten Warnmeldungen. Liste nach Bedrohungsgrad absteigend sortiert:


(des)



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

Totalitäre Tendenzen: Palantir-Ersatz aus der EU ist ein gefährlicher Wunsch


Deutschlandweit sprechen sich Politiker*innen dafür aus, keine Software von Palantir zu verwenden. Stattdessen soll eine europäische Alternative eingesetzt werden. Die Verknüpfung und automatische Analyse möglichst vieler Daten bleibt aber ein totalitäres Konzept. Ein Kommentar.

Das Palantir-Logo
Ob es nun dieser Hersteller ist oder ein anderer: Big-Data-Analysen sind der Einstieg in eine Überwachungs-Dystopie. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Mariia Shalabaieva

Ungewöhnlich viele deutsche Politiker*innen geben sich gerade datenschutzinteressiert. Ganz schlimm wäre das, so ihr Tenor, wenn Daten aus Deutschland in die USA, zu Palantir, zum Endzeit-Apologeten Peter Thiel abfließen würden. Palantir-Software soll deshalb im Bund nicht eingesetzt werden, so die SPD-Fraktion. Auch Cem Özdemir, der grüne Spitzenkandidat von Baden-Württemberg, wo Palantir-Tools bald eingesetzt werden dürfen, ist gegen deren Nutzung.

Der Witz ist: Die Politiker*innen wollen nicht auf solche Tools verzichten. Sie sollen nur nicht aus den USA kommen. Die SPD wünscht sich eine europäische Alternative, Özdemir am liebsten eine aus Baden-Württemberg.

Es soll Big-Data-Analyse-Software nach Palantir-Art geben, da sind sich sehr viele einig. Nur halt regional produziert und vielleicht ja sogar auch noch in Bio-Qualität.

Ein Riesenproblem für Grund- und Freiheitsrechte

Dabei ändert es nichts am Grundproblem, wenn man die automatisierte Rundum-Überwachung selbst aufbaut, statt sie aus einem System im totalitären Umbau zu kaufen. Sie bleibt menschenfeindlich, ein Riesenproblem für Grund- und Freiheitsrechte. Es ist eine Software, die den totalen Überblick ermöglicht, eine Entwicklung, die eigentlich nur zu totalitären Systemen passt. Wenn Demokratien das einsetzen, drohen sie, zu solchen zu werden. Das gilt auch, wenn die Daten, mit denen die Systeme gefüttert werden, in Deutschland derzeit auf sowieso bestehende polizeiliche Datenbestände begrenzt werden. Denn wer seine Bürger*innen derart umfassend in den Blick nehmen kann, der wird diese Macht absehbar auch zunehmend nutzen.

Die Software droht uns dem anzunähern, was gerade in den USA geschieht: der KI-gestützten Menschenjagd, wie sie die US-Einwanderungsbehörde ICE praktiziert. Die deutschen Politiker*innen zeigen sich datenschutzinteressiert, während sie das Datenschutz-Armageddon einleiten.

Die Tools von Palantir führen Daten zusammen und analysieren sie. Dafür sind sie gemacht. So viele Daten wie möglich. Und es wären viele Daten vorhanden: Bewegungsprofile, die mittels Werbe-ID von fast allen Telefonbesitzer*innen gesammelt werden. Telekommunikationsdaten: Wer mit wem wann von wo aus wie lange telefoniert. Social-Media-Accounts. Daten, die die Polizei bei Beschlagnahmungen oder per Staatstrojaner aus Endgeräten ausgelesen hat. Wer wann mit wem welchen Flug gebucht hat. Wer was wo im Netz sucht oder bestellt. Aufnahmen aus Überwachungskameras und polizeilichen Observationen. Und, und, und.

Ein mächtiges und gefährliches Werkzeug

Die Big-Data-Analyse ist totalitär, weil sie alles mit allem verknüpfen will. Weil sie Menschen so durchsichtig machen soll wie möglich. Sie ist ein mächtiges und gefährliches Werkzeug.

Dabei landen nicht nur die Daten von potenziellen Straftäter*innen im System, sondern auch die von Opfern, Zeugen und Menschen, die sich zur falschen Zeit im falschen Areal aufgehalten haben.

Mir ist völlig unverständlich, wie man als Demokrat denken kann, das sei eine gute Idee. Auf der einen Seite werden Länder wie China als problematische Kontrollstaaten dargestellt. In der Realität rennen wir den technischen Mitteln hinterher, die so etwas ermöglichen. Social Scoring? Mit Big-Data-Software per Knopfdruck aufbaubar. Anpassungs- und Konformitätsdruck galore. Mit solchen Tools sieht es schnell ganz schlecht aus für alle, die in Opposition zu den Herrschenden stehen.

Eine Software entscheidet, wer in den Fokus der Sicherheitsbehörden gerät

Ein weiterer Knackpunkt an dieser Art Software, egal woher sie kommt, ist die automatisierte Auswertung der zusammengeführten Daten. Kein Mensch, der vielleicht auch mal Mitgefühl oder zumindest Augenmaß haben kann, markiert, wer in den Fokus der Sicherheitsbehörden gerät, sondern eine Software. Einen kleinen Blick in diese bedrohliche Zukunft der Deutungshoheit der Maschinen bietet gerade die Debatte um den Datenaustausch mit den USA. Die dortigen Behörden wollen Zugriff auf biometrische Daten aus der EU. Laut einem aktuellen Verhandlungsstand soll es auch möglich sein, Entscheidungen über Einreisende automatisiert abzuwickeln.

Und man bedenke: Daten, die vorliegen, werden auch missbraucht. Das ist mit heutigen Polizeidatenbanken auch schon so – siehe NSU 2.0 und Polizisten, die Frauen stalken. Wenn dann eine derart umfassende Datenanalyse zur Verfügung steht, können die Täter*innen bei Interesse das Leben einer Person bis in die intimsten Winkel ausleuchten.

In Deutschland droht eine Machtübernahme der AfD. Die Politiker*innen, die sich jetzt für Big-Data-Software aussprechen, die sind auch willens, den Rechtsradikalen dieses Tool in die Hände zu geben.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.



Source link

Weiterlesen

Datenschutz & Sicherheit

iOS 26.4 Beta 2: Apple testet RCS-Verschlüsselung mit Android


Nach ersten Versuchen zwischen iPhones mit einer Ende-zu-Ende-Verschlüsselung (E2EE) für den SMS-Nachfolger Rich Communication Services (RCS) unter iOS 26.4 Beta 1 beginnt Apple nun mit „richtigen“ Tests des Dienstes. Mit der in der Nacht zum Dienstag erschienenen zweiten Beta von iOS 26.4 für Entwickler soll man nun auch in Richtung Android sicher kommunizieren können. Das geht aus dem Beipackzettel für iOS 26.4 Beta 2 hervor. Allerdings gilt das, wie schon zuvor zwischen iPhones, nicht für alle Mobilfunkanbieter – bei manchen ist der Dienst schlicht nicht freigeschaltet.

Weiterlesen nach der Anzeige

Erste Tests von Android zu iPhone und umgekehrt

Wie Apple mitteilt, geht es zunächst nur um „Tests zwischen Apple- und Android-Geräten“. Auf Android-Seite muss die jüngste Version von Google Messages vorhanden sein. Eine Freigabe von RCS-E2EE mit der Finalversion von iOS 26.4 ist derzeit nicht geplant. Die Funktion kommt erst mit einer „späteren Version“ von iOS 26, so der iPhone-Hersteller, ohne genaue Angaben zu machen. Die Implementierung ist nicht nur für iOS, sondern auch für iPadOS, macOS und watchOS geplant.

Apple nutzt den E2EE-Standard für RCS, den die GSM Association vorgeschlagen hat – offenbar im Rahmen von RCS Universal Profile 3.0, das noch weitere Verbesserungen verspricht, darunter E2EE-Gruppenchats, das nachträgliche Editieren von Botschaften, Tapbacks mit Emojis und mehr. Damit das alles funktioniert, müssen offenbar passende Carrier-Profile her, die die Mobilfunkanbieter ausliefern. Google hat E2EE via RCS zwischen Android-Geräten hingegen über eigene Server umgesetzt.

Weitere Neuerungen in iOS 26.4 Beta 2

Die zweite Beta von iOS 26.2 für Entwickler liefert auch noch weitere Neuerungen. So gibt es grafische Änderungen beim Editieren des Homescreens (stärkerer Liquid-Glass-Effekt), eine veränderte Suche in der Games-App (Eingabeleiste oben), Layout-Anpassungen im App Store und bei Apple Music und sogenannte Highlighting-Effekts lassen sich im Bereich Barrierefreiheit nun deaktivieren.

Schließlich schaltet sich die Verteilung von Beta-Updates nun automatisch ab, wenn man vier Monate lang keine neue Vorabversion installiert hat. Weiterhin nicht in Europa erhältlich ist unterdessen die neue KI-Wiedergabeliste für Apple Music, sie steht bislang nur US-Nutzern zur Verfügung.

Weiterlesen nach der Anzeige


(bsc)



Source link

Weiterlesen

Datenschutz & Sicherheit

40 Sicherheitslücken in ImageMagick geschlossen


Angreifer können insgesamt an 40 Schwachstellen in ImageMagick ansetzen, um Computer zu attackieren. Nach erfolgreichen Angriffen kommt es in erster Linie zu DoS-Zuständen und somit zu Abstürzen. Bislang gibt es seitens des Softwareherstellers keine Hinweise auf laufende Attacken. Admins sollten mit dem Patchen aber nicht zu lange zögern.

Weiterlesen nach der Anzeige

Verschiedene Gefahren

Mit der freien Bildbearbeitungssoftware erstellt und bearbeitet man Raster- und Vektorgrafiken. Im Sicherheitsbereich der GitHub-Website des Projekts sind weiterführende Informationen zu den in den Ausgaben 6.9.13-40 und 7.1.2-15 geschlossenen Lücken aufgeführt. Von den 40 gelösten Sicherheitsproblemen sind acht mit dem Bedrohungsgrad „hoch“ eingestuft.

So kommt es etwa bei der Verarbeitung von SVG-Dateien zu Fehlern und es werden rund 674 GB Speicher beansprucht, was zu Abstürzen führt (CVE-2026-25985). Die Verarbeitung von PSD-Dateien mit einem ZIP-Compressed-Layer führt ebenfalls zu Abstürzen (CVE-2026-24481). Im Kontext von Speicherfehlern kommt es oft nicht nur zu DoS-Zuständen, sondern es kann auch Schadcode auf Systeme gelangen.

Wie solche Attacken im Detail ablaufen könnten, ist bislang unklar. Die knappen Beschreibungen der Schwachstellen lassen aber darauf schließen, dass Opfer eine von einem Angreifer präparierte Datei öffnen müssen, um eine Attacke einzuleiten. Im Kontext von Webanwendungen liegt es nahe, dass der Upload einer präparierten Datei Schaden anrichten kann.

Weitere mögliche Attacken

Der Großteil der verbleibenden Softwareschwachstellen ist mit dem Bedrohungsgrad „mittel“ versehen. In diesen Fällen können Angreifer unter anderem ebenfalls Speicherfehler auslösen oder die CPU zu 100 Prozent auslasten (CVE-2026-26283 „mittel“). Außerdem kann es zu Memoryleaks kommen.

Weiterlesen nach der Anzeige


(des)



Source link

Weiterlesen

Beliebt